Hace algún tiempo me puse detenidamente a analizar la situación actual de los servicios de evaluaciones de seguridad existentes en el mercado global, un poco por los años que llevo en esto y otro poco por la situación de incertidumbre que me genera el ver a tantas compañías del rubro, y me incluyo, tratando de innovar en un servicio que hace aproximadamente 10 años que es prácticamente el mismo. Igualmente creo que, si el servicio se mantuvo con la misma esencia durante ese tiempo, significa que el modelo operativo tiene aceptación y funciona, y lo re-confirmo cuando veo que desde SHELLCODE lo seguimos desarrollando con una buena aceptación de los clientes y la demostración empírica en los resultados de cada año fiscal; al menos por ahora..
Quiero destacar el “por ahora”, ya que tiene que ver con un cambio estratégico de fondo originado por una necesidad de cambio, primero personal y luego en lo profesional, donde como interpretador de un mercado consumidor de estos servicios, y aunque el universo particular que me toque sea pequeño y acá incluyo a todo mi equipo; notamos una necesidad de cambio que va más allá del nombre específico que pueda tener el servicio, o si incluyen o no pruebas de exploiting o Fuzzing, o si el analista que lo ejecuta es o no un certificado CISSP, CEH, CISA u otros de moda.
Creo que el mercado manteniendo una clara necesidad del servicio ha planteado cambios que generaron distintas tonalidades en las Evaluaciones de Seguridad o Penetration Testing o Hacking Ético o como quieran llamarlo; y a pesar de los cambios de ángulo que muchas compañías del rubro le han aplicado, el servicio sigue siendo el mismo. Un corto paseo por Internet en búsqueda de servicios de Penetration Test podrá aclarar esta idea.
Volviendo ahora sobre nuestro cambio estratégico, y antes de entrar en el detalle coyuntural de nuestro cambio de paradigma, quiero remarcar que uno de los grandes valores para rescatar, tiene que ver con la prioridad de atención que el cliente y el mercado en general está necesitando en cuanto al servicio, lejos de cualquier interés político en certificaciones y normativas, y brindando las herramientas que le permita implementar los mejores mecanismos para optimizar su negocio.
Ahora bien, si consideramos la definición técnica del servicio de evaluaciones de seguridad o Penetration testing nos encontramos como ya dijimos con diferentes alternativas donde será importante distinguir claramente cuál es la diferencia técnica que existe comparativamente con los servicios automatizados de Vulnerability Assessment. Digo esto, por las grandes opciones que existen en el mercado para realizar pruebas automatizadas y que distan de ser un verdadero Penetration Test. Asimismo, las compañías que necesiten conocer en materia de riesgos la verdadera situación a la que se expone el negocio deberá igualmente clasificar, evaluar y analizar los atributos de los diferentes proveedores del mercado para determinar cuál es el más capacitado para ofrecer el servicio.
Desde su concepción teórica el desarrollo de un Penetration Testing fue planteado para ejecutarse en forma continua; aunque tengo que decir sinceramente en lo particular, que solo algunos casos abordan esta modalidad ya que ciertamente las compañías se rehúsan por razones diversas a invertir en este tipo de servicios, y más aún si deben hacerlo en forma mensual; por esto en el mejor de los casos las compañías terminan adoptando una modalidad de evaluación semestral.
Con esta definición y viendo que la evolución de las infraestructuras tecnológicas causó y seguirá causando una evolución de las técnicas de ataque, es evidente que el desarrollo de estos servicios en modalidad no continuo en la mayoría de los contextos es ineficiente. Nuestro análisis del 2009 muestra un escenario en el mercado Argentino un tanto desastroso y aunque las causas de esos resultados son divergentes, es importante prestar mucha atención a los muestreos obtenidos. Por ésta y otras razones, sostengo que, las inversiones en infraestructura de seguridad deben implicar una apropiada inversión en servicios de evaluaciones de seguridad, capaces de determinar la eficiencia de las medidas y mecanismos implementados. Donde, sin importar el análisis realizado por la compañía para seleccionar el proveedor apropiado, ni los esfuerzos que hagamos nosotros como proveedores para ser los elegidos; debemos todos saber que el verdadero interés de nuestros clientes en la contratación de un Penetration Testing está en los resultados finales entregados en reportes técnicos y ejecutivos; informes que, solo cuando permiten la ejecución de un plan de acción correctivo, justificarán la inversión realizada y demostrará la verdadera importancia de este tipo de servicios en los procesos de seguridad corporativa.
Acá es donde, nos detenemos y sumando a lo anterior preguntamos efusivamente si las compañías deben seguir invirtiendo en un servicio con un alto nivel de incertidumbre de los resultados que va a obtener, y donde lógicamente solo aquellas corporaciones con la capacidad económica y financiera para hacerlo obtienen “las ventajas” que ofrece en cada caso particular realizar el servicio en esa modalidad.
Por lo tanto proponemos hoy al mercado el servicio HackingSecure, en el que tanto las grandes corporaciones como las pymes puedan acceder a una nueva generación de servicios basados en el modelo “On-Results Services”; con una modalidad de desarrollo continuo, con los beneficios de los atributos de “Redes Sociales” y en el que sin costo de inversión usted decide cuales problemas desea conocer, analizar y profundizar.
. 
Discussion
No comments yet.