Metodología, El equipo de auditoría:, Alcance del proyecto, hackeo ético
El enfoque es el de proporcionar al lector una metodología basada en la experiencia, en buenas prácticas y estándares para llevar a cabo proyectos o procesos de Ethical Hacking.
Un proceso de Ethical Hacking recorre ciertas prácticas enfocadas a las distintas pruebas que se deberán realizar para satisfacer la demanda del cliente. En otras palabras, el proceso puede ser
dividido en etapas que serán semejantes para las distintas auditorías, y agregados al proceso comentados anteriormente, de las que puede consistir el Ethical Hacking.
El equipo de auditoría:
En toda propuesta para realizar un proceso de Ethical Hacking se debe explicar la composición del equipo de auditoria que participará en el proceso. Además, es importante reflejar las características de cada uno de los integrantes del equipo, y por supuesto, reflejar que cada integrante del equipo aporta un punto de vista distinto, siendo experto en una rama concreta de seguridad.
Siempre existirá un responsable al cargo del proyecto, el cual seguramente hará tareas de interlocución con los responsables del proyecto por parte de la empresa contratante. A continuación se especifica detalles que son interesantes incluir en la descripción de los integrantes:
- - Cargo en la empresa.
- Titulaciones disponibles de cada integrante.
- -Charlas y conferencias internacionales/nacionales realizadas.
- -Certificaciones de seguridad que tiene cada integrante del equipo. Certificaciones informáticas disponibles.
- Experiencia cuantitativa en años de cada miembro del equipo.
- Proyectos similares al que se presentan en los que han participado.
- Premios individuales de cada integrante, si los disponen, tanto académicos, como profesionales.
- Valores añadidos.
Alcance del proyecto
Independientemente de la auditoria o agregado de un proceso de Ethical Hacking, siempre se debe realizar distintos tipos de alcance de proyecto. Si una empresa contrata el servicio de Ethical Hacking que comprenda varios procesos de auditoría, por ejemplo una interna, perimetral y una prueba de APT, se deberá generar distintos tipos de alcances de proyecto.
En otras palabras, se deberá estudiar el alcance del proyecto global, especificando las tareas comprendidas, y los distintos alcances de proyecto de los distintos procesos de auditoría. Además, se debe indicar el número de jornadas efectivas para llevar a cabo las distintas auditorias, proporcionando un valor final en jornadas, el cual será presupuestado.
En el alcance del proyecto se especificará la vía de comunicación y notificación entre la empresa que ofrece el servicio y la contratante. En otras palabras, se especificará ante qué situación la empresa que realiza el proceso deberá notificar vulnerabilidades detectadas, y cuál es la vía para llevar a cabo las notificaciones, por ejemplo utilizando el correo electrónico, mediante el uso de claves PGP, para proteger la confidencialidad de los documentos.
La estimación de jornadas es uno de los puntos criticos del proyecto. Suponiendo el ejemplo anterior en el que el proyecto de Ethical Hacking está compuesto por una auditoría interna realizada a dos segmentos de red, una auditoría perimetral a un dominio y servicios públicos de una empresa objeto, y por último la prueba de APT a un grupo de personas pertenecientes a la empresa objeto de la auditoria, se debe estimar un número de jornadas con los recursos, consultores, que dispone la empresa para realizar las distintas tareas en un tiempo determinado.
Para este ejemplo se especifican las siguientes tablas:
