Los incidentes de seguridad física en España han aumentado un 28 por ciento desde 2021. En este sentido, la asociación ISACA ha publicado un recurso que muestra una visión general de las pruebas de penetración física para poder identificar los puntos débiles en los controles de la seguridad física de una organización o empresa y simular un ataque real a sus áreas restringidas de información.
A menudo, las pruebas de penetración física se pasan por alto cuando se habla de seguridad. «La seguridad física es anterior a la seguridad de la información y, aunque puede permanecer eclipsada por las ciberamenazas, los beneficios de las pruebas de penetración física son numerosos», ha afirmado Jon Brandt, director de Prácticas Profesionales e Innovación de ISACA. Brandt también ha recalcado que «a pesar de los avances tecnológicos y la dificultad que supone proteger los datos y activos sensibles, las empresas no pueden pasar por alto los riesgos del acceso físico».
Métodos y herramientas de las pruebas de penetración física
Por consiguiente, el recurso de ISACA ha recogido distintos métodos de prueba entre los que se encuentra la ingeniería social, la anulación física o técnica, la comparación de las pruebas destructivas frente a las pruebas no destructivas y las amenazas persistentes avanzadas.
Además, los profesionales también pueden informarse sobre cómo las organizaciones y las empresas de pruebas deciden qué tipo de prueba utilizar en función de factores como el presupuesto, el alcance del encargo y la información interna facilitada por la organización. Desde el recurso han recogido estos distintos tipos de prueba: equipo rojo, cajas negras, blancas y grises y la evaluación de la diligencia, denominada walkthrough.
Sin embargo, a pesar de que las pruebas de penetración física tienen varias ventajas como la seguridad personal, la protección de datos y el cumplimiento de la normativa, también presentan algunos retos. El coste, las consideraciones legales y éticas, el tiempo, los malentendidos de guardias armados, el personal sin la cualificación suficiente y los activos fuera de los límites son retos que puede encontrar una organización.
Archivado en: