Dentro de las pruebas que deberían tenerse en cuenta para llevar a cabo la auditoría de la red

interna de la empresa deberíamos tener presentes al menos las siguientes:

 Seguridad física de los puntos de acceso: Muchas veces existen puntos de red que no se
utilizan, es adecuado verificar que no exista ningún tipo de conectividad en ellos, o en caso
de ser necesario tenerla que esta sea mínima.
 Configuración de las VLAN: Si bien este es el mecanismo más utilizado para separar el
tráfico entre las diferentes redes de la empresa, es necesario comprobar que este tipo de
configuraciones funcionen adecuadamente, puede pasar que una actualización o
modificación en el día a día haya modificado alguna de las reglas por error.
 Análisis de tráfico en la red: Si resulta que la configuración de VLAN es correcta, aún es
necesario estar seguros del tipo de tráfico que hay en cada subred. Puede darse el caso
que en un segmento esté conectado un dispositivo que este monitoreando todas las
comunicaciones de forma ilegal.
 Manejo de permisos en la red: Establecer los permisos que tiene cada uno de los usuarios
en su respectivo entorno de red. Debe quedar demostrado que no es posible escalar
privilegios a partir de un perfil básico.
 Cifrado de los datos: Puede resultar que no todas las comunicaciones internas deban estar
cifradas, pero ¿los protocolos de comunicación de nuestra red son realmente seguros?, es
una pregunta que vale la pena responder y definir lo que se debe cambiar en función de lo
sensible de la información que se esté manejando.
 Análisis de la topología de red: Si bien la red puede funcionar correctamente, en muchas
ocasiones como parte de las acciones diarias se hacen cambios sobre la topología de red
para soportar algún nuevo requerimiento. Garantizar que todo esté debidamente
documentado es un paso para garantizar que todo se encuentra de acuerdo a lo esperado.
 Establecer un plan de acción: Como resultado de la audiotoria pueden establecerse
hallazgos que deban ser corregidos, algunos con mayor celeridad que otros. Lo importante
es que todo sea debidamente corregido, de lo contrario la auditoria carece de sentido.

Todas estas tareas de auditoria interna deberían ser complementadas con un análisis de las
vulnerabilidades que podrían ser explotadas de forma externa. Además, conviene realizar
periódicamente Penetration Test con alguien ajeno a la organización, pues muchas veces se
pueden pasar por alto algunos análisis al ser el mismo grupo de personas el encargado de realizar
las configuraciones y las pruebas.
¿Qué es un Penetration Testing?

Un Penetration Testing en una técnica utilizada para evaluar la seguridad de los recursos y activos
de la organización en materia de seguridad. La finalidad del mismo es la identificación de puertos
abiertos, servicios disponibles y a partir de ellos la detección de posibles vulnerabilidades que
pudieran comprometer la seguridad de la organización.

Este servicio no solamente identifica las vulnerabilidades existentes en la infraestructura evaluada,

sino que además ejecuta el análisis con mayor profundidad a través de la explotación de las
vulnerabilidades identificadas para determinar el impacto real sobre la organización.

¿Qué involucra un Penetration Testing?

Al igual que el Vulnerability Assessment, este tipo de servicio puede ejecutarse en dos
modalidades: interno y externo. El interno permite detectar vulnerabilidades y cuál es el impacto
real luego de la explotación de las mismas desde una perspectiva interna a la organización.
Específicamente, se evalúan los recursos internos de la compañía.

El Penetration Testing externo adopta la visión que posee un atacante desde el exterior de la
organización. Esto permite evaluar la seguridad perimetral y cuál es el impacto real sobre la
compañía luego de la explotación de aquellas vulnerabilidades detectadas.

Por lo tanto, un Penetration Testing involucra las siguientes etapas:

 Obtener una fotografía del estado de la seguridad que la organización, sistema u host
objetivo en un momento determinado.
 Visualizar su compañía desde el punto de vista del atacante, localizando debilidades,
vulnerabilidades y puntos de acceso no autorizados.
 Comprobar el verdadero impacto de las vulnerabilidades en su entorno particular.
 Comprobar si el nivel de protección existente se condice con la política de seguridad
establecida por la organización.
 Comprobar la efectividad de sus medidas de protección, políticas y procesos de detección
de intrusos y respuesta a incidentes.

¿Quiénes deberían ejecutar un Penetration Testing?

El Penetration Testing es ideal para aquellas compañías que nunca han realizado una auditoría de
seguridad de estas características. Esto permite obtener una fotografía completa de la seguridad
actual de la empresa. De esta manera, es posible establecer un punto de partida junto a un plan
de acción para mitigar todas las vulnerabilidades que han sido detectadas.

Finalmente, tal como siempre afirmamos, la seguridad de la información debe ser gestionada. Este
es un proceso que debe incorporarse al modelo de negocio de la compañía, con la finalidad de
mejorar el nivel de seguridad de la empresa y evitar futuros incidentes.