jueves, 19 de noviembre de 2015

¿Cuál es el verdadero valor de un Pentest?


 
Esta es una frecuente pregunta de clientes y proveedores, y muy válida dadas las condiciones de la economía. Como toda contratación de servicios, proveer un pentest tiene que mostrar algún valor. Desafortunadamente, la tendencia es a entregar reportes de pentest con poco valor agregado. Como notarán este es un punto constante en mis discusiones porque de seguir así la profesión mostrará poco valor.

Viví una situación similar. Preguntamos a un analista de una de las empresas que contratamos acerca de una vulnerabilidad  y como afectaría un sistema importante y cuál era su recomendación. Como muchas otras veces y otras empresas, la respuesta fue que el solo encontraba fallas y explotaba vulnerabilidades nada más. Preguntamos si alguien de su equipo podría orientarnos. No, no tenían ningún profesional con experiencia certificada en el mismo sistema de información que ellos explotaban. No sobra decir que fue su último contrato.


 Muchos pensaran que la creciente demanda de profesionales de seguridad augura un futuro sin nubarrones; pero hemos de recordar que los vientos cambian. Ya algunos expertos en el tema han notado la misma tendencia. Por ejemplo, Ed Skoudis, uno de los especialistas más reconocidos, advierte sobre el peligro que se cierne sobre la profesión. Sí, es cierto que hay demanda de profesionales de seguridad informática, pero esa demanda exige un tipo de analista con capacidades más allá del pentester tradicional.  Atrás quedaron los días de aquel hacker petulante que demostraba que un sistema era vulnerable y nada más. Las empresas y clientes esperan mucho más.  La demanda exige verdadera capacidad analítica y no simple explotación. 


Los clientes esperan un consejo profesional de cómo solucionar las vulnerabilidades de un sistema, que procesos se deben seguir, y cuan critica es la vulnerabilidad relativa al negocio, y no relativa al simple sistema. Esos nuevos requerimientos requieren un verdadero profesional, experimentado con conocimientos específicos de sistemas de información, del tipo de negocio y la legislación correspondiente. En el caso de aplicaciones Web, el profesional posiblemente deba tener experiencia en buenas prácticas de programación y el lenguaje y plataforma específica en que se está trabajando. En otras palabras, se requiere un profesional integral. Obviamente, los proveedores de servicios de pentesting no llenan esos requisitos con analistas con solo 2 o 3 años de experiencia.


Por fortuna, he observado en algunos casos la especialización en ciertas áreas. Por ejemplo, algunos pentesters tienen profundos conocimientos de Windows, Oracle o Cisco y certificaciones de alto o medio nivel tipo MVP o CCNP. Para aquellos interesados en el tema, no olviden ir más allá de la última técnica y herramienta. El campo es amplio y hay muchos temas sobre los cuales aprender y ser un verdadero experto. Ese es el reto.