Cualquiera quien ha tomado una clase de seguridad de la información es los recientes diez años, probablemente ha escuchado la analogía de una barra de chocolate; “crujiente por fuera, suave por dentro”; aplicado a un modelo para la seguridad de datos en red. Esto significa todos los controles de seguridad “fuertes” están alrededor del exterior de la red, y el interior de la red es “suave” y fácil de explotar. Esta arquitectura ha predominado largamente en redes corporativas y ha incluso formado malware contemporáneo. Incluso con este conocimiento común, se podría o no frecuentemente, encontrar esta arquitectura para la seguridad de red, estando en el rol de un profesional en pruebas de penetración.

Es importante establecer cual tipo de daño podría ser hecho por un atacante decidido o audaz, quien quizá ni siquiera sea tan hábil con la tecnología, sino quien conozca a alguien a quien pueda vender una computadora El valor de la información privada personal, especialmente datos financieros o de transacciones, es ahora bien conocido por los criminales más pequeños y menos especializados. El ataque no siempre proviene a nivel mundial; algunas veces es local, notablemente eficaz, e igualmente devastador.

Cuando inicialmente se está conversando sobre servicios para pruebas de penetración con un prospecto de cliente, es probable el cliente no considere un escenario para una prueba de penetración física. Este escenario frecuentemente no es considerado, y es obviado, por los CIOs, directores de IT, y gerentes, quien no tienen conocimientos sobre seguridad física, a menos de hecho, hayan sido victimas de alguna manera. Por lo tanto, es responsabilidad explicar este tipo de pruebas y sus beneficios. En la mayoría de casos, una vez el cliente entiende la razones por las cuales realizar pruebas de penetración físicas, lo solicitarán con entusiasmo.

Fuentes:

https://research.utwente.nl/en/publications/two-methodologies-for-physic...