Estructurar un Acuerdo para Pruebas de Penetración

Cuando se realizan pruebas de penetración, un acuerdo firmado puede ser el mejor amigo o el peor enemigo. Los siguientes documentos son pertinentes.

Declaración del Trabajo

Muchas organizaciones utilizan una Declaración del Trabajo , SOW por sus siglas en idioma inglés, cuando se contrata. El formato de este documento no es tan importante como su contenido. Normalmente el contratista (en este caso el profesional en pruebas de penetración), prepara el SOW y lo presenta al cliente como parte de la propuesta. Si el cliente lo acepta, el cliente emite una orden de compra, u orden de tarea sobre el contrato existente. Hay algunas cosas a asegurarse a incluir en el SOW.

  • Propósito de la evaluación
  • Tipo de evaluación
  • Alcance del esfuerzo
    • Limitaciones y restricciones
    • Cualquier sistema explícitamente fuera del alcance
  • Limitaciones de tiempo en la evaluación
  • Programación preliminar
  • Estrategia para la comunicación
    • Manejo de incidentes y procedimientos de respuesta
  • Descripción de la tarea a ser realizada
  • Entregables
  • Procedimientos para el manejo de datos sensibles
  • Poder humano requerido
  • Presupuesto
  • Términos del pago
  • Puntos de contacto para emergencias

Carta de “Salga Libre de la Cárcel”

Cuando sea posible, el cliente debe proporcionar una Carta de “Salga Libre de la Cárcel”. La carta debe exponer algo como lo siguiente:

A quien sea de interés,
Aunque esta persona parece no ser buena, en realidad es parte de una evaluación de seguridad, autorizada por el director de seguridad de “Empresa”.
Por favor dirija cualquier pregunta a seguridad @ empresa . pe

Una carta de este tipo es particularmente útil cuando se busca en la basura a la mitad de la noche.

Fuentes:

https://csrc.nist.gov/publications/detail/sp/800-115/final
http://www.isecom.org/research/

Sobre el Autor


Alonso Eduardo Caballero Quezada - ReYDeS
Instructor y Consultor en Hacking Ético, Forense Digital & GNU/Linux
Correo Electrónico: ReYDeS@gmail.com
Twitter: @Alonso_ReYDeS
LinkedIn: pe.linkedin.com/in/alonsocaballeroquezada
Facebook: https://www.facebook.com/alonsoreydes
Youtube: http://www.youtube.com/c/AlonsoCaballero
Resumen de mi CV: http://www.reydes.com/d/?q=node/1