¿Cuál es hacking ético?

Ethical Hacking - que abarca la prueba formal y metódica de penetración, la piratería sombrero blanco, y las pruebas de vulnerabilidad - implica las mismas herramientas, trucos y técnicas que utilizan los hackers, pero con una diferencia importante: Hacking ético se lleva a cabo con el permiso del objetivo en un entorno profesional.

La intención de hacking ético es descubrir vulnerabilidades desde el punto de vista de un atacante malintencionado a mejores sistemas de seguridad. hacking ético es parte de un programa de gestión de riesgos de la información general que permite mejoras de seguridad en curso. hacking ético también puede asegurar que las reclamaciones de los vendedores acerca de la seguridad de sus productos son legítimas.

hacking ético frente a las auditorías

Muchas personas confunden hacking ético con la auditoría de seguridad, pero hay grande diferencias. La auditoría de seguridad implica la comparación de las políticas de seguridad de una empresa a lo que realmente está ocurriendo. La intención de la auditoría de seguridad es para validar que existen los controles de seguridad - típicamente usando un enfoque basado en el riesgo. Auditoría a menudo implica la revisión de los procesos de negocio y, en muchos casos, no podría ser muy técnico. No todas las auditorías son este alto nivel, pero la mayoría son bastante simplista.

Por el contrario, hacking ético se centra en las vulnerabilidades que pueden ser explotadas. Se valida que los controles de seguridad no haga existen o son ineficaces en el mejor. hacking ético puede ser a la vez muy técnico y no técnico, y aunque usted hace uso de una metodología formal, tiende a ser un poco menos estructurada que la auditoría formal.

Si la auditoría sigue teniendo lugar en su empresa, es posible considerar la integración de técnicas de hacking ético en su programa de auditoría de TI. Se complementan entre sí muy bien.

consideraciones de política

Si usted decide hacer hacking ético una parte importante del programa de gestión de riesgos de su negocio, usted realmente necesita tener una política de pruebas de seguridad documentada. Dicha política describe el tipo de hacking ético que se realiza, que se ponen a prueba los sistemas (tales como servidores, aplicaciones web, ordenadores portátiles, etc.), y con qué frecuencia se realiza la prueba.

También puede considerar la creación de un documento de estándares de seguridad que se describen las herramientas específicas de pruebas de seguridad que son usados ​​y fechas específicas de sus sistemas se ponen a prueba cada año. Es posible que la lista de fechas de los exámenes estándar, como una vez por trimestre para los sistemas externos y pruebas semestrales para los sistemas internos - lo que funcione para su negocio.

Cumplimiento y preocupaciones regulatorias

Sus propias políticas internas podrían dictar la forma de administración considera que las pruebas de seguridad, pero también hay que tener en cuenta las leyes y regulaciones estatales, federales y globales que afectan a su negocio.

Muchas de las leyes y reglamentos federales de los EE.UU. - como la Ley de Salud Clínica (HITECH) la Ley de Portabilidad del Seguro Médico (HIPAA), Tecnología de la Información de la Salud Económica y, Gramm-Leach-Bliley (GLBA), North American Electric fiabilidad Corporation (NERC CIP) los requisitos y de tarjetas de pago estándar de la industria de seguridad de datos (PCI DSS) - requieren fuertes controles de seguridad y evaluaciones de seguridad consistentes.

leyes internacionales relacionadas, tales como la Ley de Protección de Información Personal de Japón (JPIPA) Personal Protección Canadiense de Información y Documentos Electrónicos (PIPEDA), la Directiva de Protección de Datos de la Unión Europea, y no son diferentes. La incorporación de las pruebas de hacking ético en estos requisitos de cumplimiento es una gran manera de satisfacer las regulaciones estatales y federales y reforzar su programa global de privacidad y seguridad.

Artículos Relacionados
Linux: 2 partes de auditorías de seguridad informática
Linux: auditorías de seguridad informática
Evaluar la infraestructura de seguridad para evitar cortes
Crear estándares de prueba para sus hacks éticos
Mandamientos de hackers éticos
Herramientas que no puede vivir sin la piratería
Cómo los atacantes maliciosos engendrar hackers éticos
¿Cómo comunicar los resultados de evaluación de seguridad
¿Cómo establecer objetivos para un plan de hacking ético
Cómo utilizar el análisis de árbol de ataque para prepararse para un truco ética
Cómo los hackers no ético puede hacer daño a sus sistemas
Selección de herramientas para el trabajo de la piratería
Diez errores mortales que deben evitarse al hackear su empresa
Diez razones piratería es la mejor manera de garantizar la seguridad de la empresa
Diez maneras de obtener superior de gestión de buy-in de piratear su empresa
El proceso de hacking ético
Las cosas a considerar cuando se busca un proveedor de hacking ético
La comprensión de la necesidad de cortar sus propios sistemas
¿Por qué usted debe cortar sus propios sistemas
¿Qué sistemas en caso de que éticamente hackear?