Test de penetración y cumplimiento
Los test de penetración y el cumplimiento de todos los requisitos en red son un aspecto esencial de cualquier programa de ciberseguridad. Debido al creciente número de amenazas informáticas, es imprescindible monitorizar regularmente todos los sistemas y prevenir así cualquier tipo de ataque o vulnerabilidad tecnológica.
Conexión del cumplimiento con los test de penetración
En la actualidad, muchas organizaciones buscan mejores modos de evaluar su cumplimiento gracias a un entorno regulado. Los diferentes reglamentos y normas tienen múltiples componentes relacionados específicamente con las auditorías de los sistemas y la seguridad. Además, estas directrices indican o especifican que los test de penetración son necesarios para determinar si las vulnerabilidades identificadas suponen un riesgo real para una organización.
PCI DSS
Reglamento
¿Qué es?
El PCI DSS fue establecido para ayudar a los pagos seguros con tarjeta durante el proceso comercial y reducir los fraudes con tarjetas. Para ello se aplican controles estrictos en lo que se refiere al almacenamiento, la transmisión y el procesamiento de los datos del titular de la tarjeta que gestionen los negocios. El PCI DSS sirve para proteger los datos del titular de la tarjeta confidenciales.
Requisito
El requisito 11.3 del PCI DSS describe la necesidad de llevar a cabo con regularidad test de penetración para identificar problemas de seguridad que no se hayan tratado y escanear las redes inalámbricas clandestinas.
Más información
ISO 27001
Reglamento
¿Qué es?
Un componente esencial del cumplimiento de la norma ISO 27001 (y posiblemente para lograr la certificación) es realizar un test de penetración. Con los test o pruebas de penetración, las organizaciones pueden identificar con eficacia dónde se deben realizar mejoras en el
Sistema de Gestión de Seguridad de la Información (SGSI). Los test de penetración también forman parte de un régimen de mejoras continuo eficaz.
Requisito
El objetivo de control de la norma ISO 27001 A12.6 (Gestión de vulnerabilidades técnicas) dice que "La información acerca de las vulnerabilidades técnicas de los sistemas de información que se están utilizando se obtendrá de una manera oportuna, se evaluará la exposición de la organización a dichas vulnerabilidades y se tomarán las medidas adecuadas para tratar los riesgos asociados".
Más información
GDPR
Reglamento
¿Qué es?
El RGPD recomienda evaluar las aplicaciones y la infraestructura crítica en busca de vulnerabilidades de la seguridad y que se compruebe con regularidad la eficacia de los controles de seguridad. Los servicios como los test de penetración y las evaluaciones regulares de las vulnerabilidades ayudarán a cumplir esta recomendación.
Requisito
Es necesario que una organización aplique medidas técnicas para garantizar la seguridad de los datos. El artículo 32 dice que las organizaciones deben llevar a cabo "un proceso para probar y evaluar con regularidad la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del procesamiento".
Más información
PSD2
Reglamento
¿Qué es?
El PSD2 es una evolución significativa del reglamento existente para el sector de pagos y los proveedores del servicio de pago. Su objetivo es aumentar la competencia en un sector ya de por sí competitivo, incluir en su alcance nuevos tipos de servicios de pago, mejorar la protección del cliente y la seguridad y aumentar el alcance de la Directiva.
Requisito
El PSD2 requiere de instituciones de pago prospectivas para proporcionar un documento de la política de la seguridad (en el que se incluya una evaluación de riesgos detallada) que describa las medidas tomadas para proteger a los clientes contra el fraude y el uso ilegal de datos personales y confidenciales. Al menos una vez al año, los proveedores del servicio de pagos tendrán que informar a la autoridad competente nacional de: evaluaciones de los riesgos de seguridad y operativas actualizadas, así como la idoneidad de las medidas de mitigación y de control utilizadas.
Más información
Oferta de soluciones prácticas para ayudarte a cumplir con los requisitos legales, reglamentarios y contractuales
Nuestra experiencia mundial en normas como el PCI DSS, el RGPD e ISO 27001 demuestran nuestro amplio enfoque integrado ante desafíos relacionados con los test de penetración. También desarrollamos soluciones adecuadas que permitan reducir los riesgos y garantizar el cumplimiento de las normas, los contextos, la legislación y cualquier otro requisito empresarial.
Habla con un experto
Ponte en contacto con nosotros para obtener más información o para hablar con un especialista sobre las normas internacionales de seguridad de la información.