blog

La estrategia de seguridad adaptativa prescribe la predicción continua, prevención, detección, y acciones de respuesta deben ser tomadas para asegurar una completa defensa en la red de computadoras.

Protección: Esto incluye un conjunto de contramedidas previas para tratar de eliminar todas las posibles vulnerabilidades sobre la red. Incluye medidas como políticas de seguridad, seguridad física, seguridad del host, firewall, e IDS.

Detección: La detección involucra evaluar la red por anormalidades como ataques, daños, intentos de acceso no autorizado, y modificaciones, además de identificar su ubicación en la red. Incluye la vigilancia regular del tráfico de red utilizando herramientas para vigilancia de red y esnifado de paquetes.

Respuesta: La respuesta ante incidentes involucra acciones tales como identificar incidentes, encontrar las causas raíz, y planificar un posible curso de acción para abordarlos. Incluye la respuesta ante incidentes, investigación, contención, mitigación del impacto, y pasos de erradicación para abordar los incidentes. También incluye decidir si es un incidente de seguridad real o un falso positivo.

Predicción: La predicción involucra la identificación de posibles ataques, objetivos, y métodos antes de se materialicen en un ataque viable. La predicción incluye acciones como conducir una evaluación de riesgos y vulnerabilidades, realizar un análisis sobre la superficie de ataque, y consumir datos sobre inteligencia de amenazas para predecir futuras amenazas sobre la organización.

Fuentes:

https://www.bitsight.com/blog/what-adaptive-security-and-how-it-can-ben…
https://www.webasha.com/blog/adaptive-security-strategy-a-continual-def…
 

Aseguramiento de Información se refiere a la garantía de la integridad, disponibilidad, confidencialidad, y autenticidad de la información además de los sistemas de información durante su uso, procesamiento, almacenamiento, y transmisión. Los expertos en seguridad cumplen el aseguramiento de información con la ayuda de controles físicos, técnicos, y administrativos. El Aseguramiento de la Información y Gestión de Riesgos en Información (IRM) garantizan únicamente personal autorizado acceda y utilice la información. Esto ayuda a alcanzar seguridad de información y continuidad del negocio.

Algunos de los procesos ayudando a alcanzar el aseguramiento de información incluyen:

• Desarrollar políticas, procesos, y directrices locales de tal manera se mantengan los sistemas de información en un nivel óptimo de seguridad. 
   
• Diseñar una estrategia de autenticación de red y usuarios. El diseño de una red segura garantiza la privacidad de los registros de usuarios y otra información sobre la red. Implementar una estrategia efectiva de autenticación de usuarios asegura los datos del sistema de información.
   
• Identificar vulnerabilidades y amenazas de red: Las evaluaciones de vulnerabilidades delinean la postura de seguridad de la red. Realizar evaluaciones de vulnerabilidades en busca de vulnerabilidades y amenazas en la red ayuda a tomar las medidas apropiadas para superarlas.
   
• Identificar problemas y requerimientos de recursos.
   
• Crear un plan para los requerimiento de recursos identificados.
   
• Aplicar controles apropiados para seguridad de información
   
• Realizar el proceso de Certificación y Acreditación (C&A) de los sistemas de información ayuda a rastrear vulnerabilidades, e implementar medidas de salvaguarda para neutralizarlas.
   
• Proveer entrenamiento en seguridad de la información para todo el personal de organizaciones e instituciones fomenta la concienciación en tecnologías de información.
   

Fuentes:

https://csrc.nist.gov/glossary/term/information_assurance
https://www.itgovernanceusa.com/information/information-assurance
 

El Modelo Diamante desarrollado por analistas expertos, introduce tecnología del “estado del arte” para el análisis de intrusiones. Este modelo ofrece un framework y un conjunto de procedimientos para reconocer grupos de eventos relacionados sobre cualquiera de los sistemas en una organización. El modelo determina el elemento atómico vital ocurriendo en cualquier actividad de intrusión, conocido como el evento Diamante. Los analistas pueden identificar los eventos y conectarlos como hilos de actividad para obtener información relacionada sobre como y que ocurrió durante un ataque. Los analistas también pueden fácilmente identificar si algún dato es requerido examinando las características faltantes. También ofrece un método u hoja de ruta para analizar incidentes relacionados con cualquier actividad maliciosa, y predecir la posibilidad de un ataque además de su origen.

Con el Modelo Diamante se pueden desarrollar enfoques para mitigación más avanzados y eficientes, además la eficiencia analítica puede ser incrementada. Esto también resulta en ahorro de costos para el defensor, y un aumento de costos para el adversario. El evento Diamante consiste de cuatro características básicas: adversario, capacidad, infraestructura, y víctima. Este modelo es nombrado así porque cuando todas las características son ordenadas acorde a su relación, forman una estructura en forma de diamante. Aunque parece una perspectiva simple, es bastante complejo y requiere elevada experiencia y habilidad para rastrear el flujo del ataque.

Los siguientes son las características esenciales del evento Diamante en el Modelo Diamante para Análisis de Intrusiones.

Adversario: Un adversario frecuentemente se refiere a un oponente o hacker responsable por el evento de ataque. Un adversario toma ventaja de una capacidad contra la víctima para realizar una actividad maliciosa para un beneficio financiero o dañar la reputación de la víctima. Los adversarios puede ser individuos como internos o una organización de la competencia. Los adversarios pueden utilizar muchas técnicas para ganar información, como direcciones de correo electrónico y activos de red, e intentar atacar cualquier aplicación utilizada en teléfonos inteligentes para ganar información sensible.

Víctima: La víctima es el objetivo quien será explotado o el entorno donde se realizó el ataque. El adversario explota las vulnerabilidades o fallas de seguridad en la infraestructura de la víctima utilizando sus recursos. La víctima puede ser cualquier persona, organización, institución, o incluso información de red, como direcciones IP, nombres de dominio, direcciones de correo electrónico, e información personal sensible de un individuo.

Capacidad: La capacidad se refiere a todas las estrategias, métodos, y procedimientos asociados con un ataque. También puede ser malware o una herramienta utilizada por un adversario contra el objetivo. La capacidad incluye técnicas de ataque simples y complejas, como ataques por fuerza bruta y ransomware.

Infraestructura: La infraestructura se refiere al hardware o software utilizado en la red por el objetivo quien tiene una conexión con el adversario. Se refiere a "que" el adversario ha utilizado para alcanzar a la víctima. Considerar una organización con un servidor de correo electrónico en el cual todos los datos relacionados con los Identificadores de correo electrónico y otros datos personales son almacenados. El adversario puede utilizar el servidor como infraestructura para realizar cualquier tipo de ataque, dirigiéndose a un solo empleado. La explotación de la infraestructura conduce hacia fugas de datos y exfiltración de datos.

Fuentes:

https://www.eccouncil.org/cybersecurity-exchange/ethical-hacking/diamon…

MITRE ATT&CK es una base de conocimiento factible de ser accedido globalmente sobre tácticas y técnicas de adversarios basado en observaciones del mundo real. La base de conocimiento ATT&CK es utilizado como fundamento para el desarrollo de modelos y metodologías de amenazas específicas en el sector privado, gobierno, además de la comunidad de productos y servicios en ciberseguridad.

Con la creación de ATT&CK, MITRE cumple su misión de resolver problemas para un mundo más seguro, uniendo a las comunidades para desarrollar una ciberseguridad más eficaz. ATT&CK está disponible para cualquier persona u organización sin costo alguno.

Conceptos Clave

ATT&CK es un modelo intentando sistemáticamente categorizar el comportamiento del adversario. Sus componentes principales son:

• Tácticas: representa el "porque" o la razón por la cual un adversario está realizando una acción.
• Técnicas: representa el "como" los adversarios alcanzan sus metas tácticas realizando una acción.
• Subtécnicas: una descripción más específica o a bajo nivel sobre el comportamiento del adversario.
• Procedimientos: implementación específica o uso “en lo salvaje” lo cual el adversario utiliza para las técnicas o subtécnicas.

ATT&CK está organizada en una serie de dominios tecnológicos, el ecosistema dentro del cual opera un adversario. Actualmente existen tres dominios tecnológicos:

• Empresa: representa las redes empresariales tradicionales y tecnologías en la nube.
• Móvil: para dispositivos de comunicación móvil.
• Sistemas de Control Industrial (ICS): para sistemas de control industrial.

Dentro de cada dominio se encuentran las plataformas, la cuales pueden ser un sistema operativo o una aplicación (p. ej., Microsoft Windows). Las técnicas y subtécnicas pueden aplicarse a múltiples plataformas.

Las siguientes son las tácticas de ATT&CK para empresas:

• Reconocimiento
• Desarrollo de recursos
• Acceso inicial
• Ejecución
• Persistencia
• Escalada de privilegios
• Evasión de defensa
• Acceso a credenciales
• Descubrimiento
• Movimiento lateral
• Recopilación
• Comando y control
• Exfiltración
• Impacto

Fuentes:

https://attack.mitre.org/
https://attack.mitre.org/resources/
https://www.lockheedmartin.com/en-us/capabilities/cyber/cyber-kill-chai…
 

El hacking ético impulsado por IA es sin duda una herramienta poderosa dentro del arsenal de los hackers éticos, pero es crucial reconocer no opera de forma aislada; complementa en lugar de reemplazar la experiencia humana.

Aunque las tecnologías IA pueden automatizar ciertos aspectos de las tareas correspondientes al hacking ético y mejorar significativamente la eficiencia, no pueden reemplazar la creatividad, el pensamiento crítico, y el conocimiento complejo aportado por los hackers éticos humanos.

El hacking ético involucra determinar como trabajan los objetos digitales y hacerlos más seguros. Es como resolver un rompecabezas en el cual se exploran el equipo de cómputo y las redes. Se necesita conocer sobre software y hardware, y estar preparado para nuevos retos. Las siguientes reglas y leyes son tan importantes como la identificación de problemas:

Aunque las herramientas de inteligencia artificial (IA) pueden hacer el proceso de hacking más rápido y fácil, son imperfectos. Los humanos deben supervisarlas, asegurar su correcto funcionamiento, e interpretar los resultados. Algunas veces el hacking ético involucra hacer decisiones difíciles donde reglas estrictas pueden no ser aplicadas; es decir donde el juicio humano se vuelve crucial. Los humanos pueden identificar ciberatacantes, identificar potenciales puntos de entrada, y explotar vulnerabilidades de maneras tales en comparación a los sistemas IA, estos podrían tener dificultades en su comprensión. Además los hackers éticos humanos pueden aprovechar su conocimiento y comprensión del contexto para diseñar estrategias de mitigación personalizadas, las cuales aborden necesidades y retos específicos de un sistema o red.

El hacking ético impulsado por IA es beneficioso para la ciberseguridad; sin embargo no debe reemplazar al hacking humano. Cuando la IA y los humanos trabajan juntos, las organizaciones pueden mejorar su ciberseguridad y protegerse contra diferentes amenazas. Esta combinación de creatividad humana y tecnología puede mejorar el hacking ético y la ciberseguridad en el futuro.

Fuentes:

https://www.bugcrowd.com/blog/hacker-opinion-piece-will-artificial-inte…
 

El hacking ético impulsado por IA aprovecha las tecnologías de inteligencia artificial (IA) para mejorar las capacidades de los hackers éticos. El hacking ético impulsado por IA mejora la eficiencia, la eficacia, y el alcance de las medidas en ciberseguridad, y proporciona a los hackers éticos poderosas herramientas para proteger activos digitales contra ciberamenazas cada vez más sofisticadas.

Automatización de Tareas Repetitivas: La IA puede automatizar las tareas repetitivas involucradas en hacking ético, como escaneo de vulnerabilidades, vigilancia del tráfico de red, e identificación de potenciales amenazas. Esto reduce el tiempo y el esfuerzo requerido para pruebas manuales y permite a los hackers éticos centrarse en tareas más complejas.

Análisis Predictivo: Los algoritmos de IA pueden predecir potenciales brechas de seguridad analizando patrones y anomalías de datos. Los modelos de aprendizaje máquina pueden aprender de ataques pasados para identificar signos de futuras amenazas, lo cual proporciona una perspectiva proactiva en ciberseguridad. Esto ayuda a los hackers éticos proactivamente abarquen las vulnerabilidades antes de estas puedan ser explotadas por actores maliciosos.

Detección Avanzada de Amenazas: Las herramientas impulsadas por IA pueden detectar amenazas sofisticadas y previamente desconocidas (vulnerabilidades de día cero), utilizando técnicas de aprendizaje profundo y detección de anomalías. Estas herramientas pueden identificar sutiles indicadores de compromiso los cuales métodos tradicionales pueden pasar por alto.

Tomar Decisiones Mejoradas: Las herramientas de IA pueden proporcionar información y recomendaciones basadas en el análisis de datos, lo cual ayuda a los hackers éticos tomen decisiones informadas sobre donde asignar recursos, y como responder a las amenazas explotadas por actores maliciosos.

Aprendizaje Adaptativo: Los sistemas de IA continuamente aprenden y se adaptan hacia nuevos tipos de ciberataques. Conforme las ciber amenazas evolucionan la IA puede actualizar su base de conocimientos y mejorar sus estrategias para detección y respuesta sin requerir intervención manual.

Reportes Mejorados: La IA puede generar reportes detallados y precisos sobre las vulnerabilidades y su potencial impacto. Estos reportes pueden ayudar a las organizaciones prioricen sus esfuerzos en seguridad y asignar recursos más eficazmente.    

Simulación y Pruebas: Las herramientas de hacking ético impulsadas por IA pueden simular ciberataques del mundo real y probar la resiliencia de un sistema. Estas simulaciones ayudan a las organizaciones comprendan como sus defensas podrían desempeñarse bajo condiciones reales de ataque e identificar áreas para mejorar.

Escalabilidad: Las herramientas impulsadas por IA pueden manejar entornos de gran escala y sistemas complejos con mayor eficiencia comparado con métodos manuales. Esta escalabilidad es crucial para organizaciones con una infraestructura TI extensa y diversa.

Vigilancia Continua: La IA permite la vigilancia y evaluación continua de posturas en seguridad, garantizando las vulnerabilidades sean identificadas y mitigadas en tiempo real en lugar sea hecho durante revisiones periódicas.

Mecanismos para Defensa Adaptativa: La IA puede adaptarse a las nuevas amenazas conforme evolucionan, actualizando sus algoritmos y estrategias de respuesta para contrarrestar las últimas técnicas de hacking y explotaciones.

Fuentes:

https://www.lisrc.co.uk/leveraging-ai-ml-ethical-hacking-cyber-defense

En el panorama actual rápidamente evolucionando, la inteligencia artificial (IA) ha emergido como una fuerza transformadora a través de diversos campos, moldeando varios sectores, revolucionando procesos, y mejorando la eficiencia. Con el avance de la IA las ciberamenazas se han tornado más sofisticadas. Los hackers están incrementando cada vez más el uso de herramientas y técnicas basadas en IA para automatizar y aumentar los intentos de hacking, poseyendo retos significativos para la ciberseguridad.

El hacking ético impulsado por IA es un enfoque moderno para la ciberseguridad, donde las tecnologías de inteligencia artificial (IA) son utilizadas para mejorar las capacidades de los hackers éticos. El hacking ético también conocido como pruebas de penetración, implica identificar y explotar vulnerabilidades en un sistema para mejorar la seguridad. El hacking ético es más eficiente, escalable ,y eficaz cuando se combina con IA.

Esta adopción estratégica en tecnologías de IA presenta una oportunidad transformadora para los hackers éticos mejoren sus capacidades, fortalezcan sus defensas en ciberseguridad, y mitiguen eficazmente las ciberamenazas emergentes. Al utilizar tecnologías de IA en iniciativas de hacking ético, los hackers éticos se empoderan a si mismos para anticipar a los actores maliciosos, anticipan la evolución de vectores de ataque, y proactivamente mitigan riesgos.

El hacking ético basado en IA involucra utilizar tecnologías de IA, como algoritmos de IA, modelos de aprendizaje máquina, y marcos de automatización, para facilitar y automatizar los esfuerzos de hacking ético. Al adoptar perspectivas basadas en IA los hackers éticos no solo pueden mejorar la eficiencia y eficacia de sus esfuerzos en ciberseguridad, sino también contribuyen para fomentar un ecosistema digital más seguro y resiliente.

Beneficios

• Eficiencia: La IA puede procesar rápidamente grandes cantidades de datos, haciendo el proceso de hacking ético más rápido y eficiente.
• Precisión: La IA reduce la probabilidad de error humano e incrementa la precisión en evaluaciones de vulnerabilidades.
• Escalabilidad: Las soluciones basadas en IA pueden escalarse para manejar la creciente complejidad y volumen de ciberamenazas.
• Rentalidad: La automatización y las ganancias en eficiencia pueden reducir los costes globales de ciberseguridad.

Aplicaciones del Hacking Ético Impulsado por IA

• Seguridad de Red: Vigilancia del tráfico de red para detectar actividades sospechosas y potenciales brechas.
• Seguridad de Aplicaciones: Pruebas de aplicaciones web o móviles por vulnerabilidades utilizando herramientas impulsadas por IA.
• Seguridad en la Nube: Identificar y mitigar riesgos en entornos de nube.
• Seguridad del IoT: Protección de dispositivos del Internet de las Cosas (IoT) de ciberamenazas.
• Inteligencia de Amenazas: Recolectar y analizar datos sobre amenazas para obtener perspectivas accionables.

Fuentes:

https://ip-specialist.medium.com/role-of-artificial-intelligence-ai-in-ethical-hacking-1084c540ad2b

Es esencial para un hacker ético adquirir los conocimientos y habilidades para convertirse en un hacker experto, y utilizar estos conocimientos en una manera legal. Los conocimientos técnicos y no técnicos para ser un buen hacker ético son las siguientes:

Habilidades Técnicas

• Profundos conocimientos sobre los principales entornos o sistemas operativos, como Windows, Unix, Linux, y Mac
• Profundos conocimientos sobre conceptos de redes, tecnologías, además de hardware y software relacionado.
• Ser un experto en computadoras adepto a dominios técnicos
• Conocimientos sobre áreas de seguridad y temas relacionados
• Tener altos conocimientos técnicos sobre como lanzar ataques sofisticados

Habilidades no Técnicas

• Capacidad para rápidamente aprender y adaptarse a nuevas tecnologías
• Una sólida ética de trabajo además de buenas habilidades para resolver problemas y de comunicación
• Compromiso con las políticas de seguridad en la organización
• Concienciación sobre leyes y estándares locales

Fuentes:

https://www.computer.org/publications/tech-news/build-your-career/ethic…
 

Los expertos en seguridad generalmente clasifican los crímenes por computadora en dos categorías: crímenes facilitados por una computadora y aquellos en los cuales la computadora es el objetivo.

El hacking ético es una evaluación de seguridad estructurada y organizada, usualmente como parte de una prueba de penetración o auditoría de seguridad, siendo un componente crucial en la evaluación de riesgos, auditoría, combatir fraude, y mejores prácticas en seguridad de los sistemas de información. Es utilizado para identificar riesgos y resaltar las acciones para remediarlas. También es utilizado para reducir los costos en las Tecnologías de Información y Comunicación (TIC) mediante la resolución de vulnerabilidades.

Los hackers éticos determinan el alcance de la evaluación de seguridad acorde a las preocupaciones en seguridad del cliente. Muchos hackers éticos son miembros de un "Equipo Tigre". Un equipo tigre trabaja en conjunto para realizar una prueba a gran escala abarcando todos los aspectos de la red, como también la intrusión física y del sistema.

Un hacker ético debe conocer las penalidades por hacking no autorizado en un sistema. Ninguna actividad del hacking ético asociada con una prueba de penetración a red o auditoría de seguridad, debe iniciarse antes de recibir un documento legal firmado autorizando expresamente al hacker ético realizar las actividades de hacking desde la organización objetivo. Los hackers éticos deben ser juiciosos con sus habilidades de hacking y reconocer las consecuencias de un mal uso de estas habilidades.

El hacker ético debe seguir ciertas reglas para cumplir sus obligaciones éticas y morales. Debe hacer lo siguiente:

• Obtener autorización del cliente y tener un contrato firmado autorizando al profesional realizar la prueba.
• Mantener la confidencialidad cuando se realice la prueba y seguir un Acuerdo de Confidencialidad (NDA) con el cliente para la información confidencial expuesta durante la prueba. La información recolectada podría contener información sensible, y el hacker ético no debe exponer ninguna información sobre la prueba o  datos confidenciales de la compañía hacia terceros.
• Realizar la prueba hasta los límites acordados pero sin ir más allá. Por ejemplo los hackers éticos solo deben realizar ataques DoS si lo han acordado previamente con el cliente. Una organización cuyos servidores o aplicaciones no estén disponibles para los clientes debido a las pruebas podría perder ingresos, perder prestigio, y tener consecuencias aún peores.

Los siguientes pasos proporcionan un marco de trabajo para realizar una auditoría de seguridad en una organización, lo cual ayudará a garantizar la prueba es organizada, eficiente, y ética:

• Hablar con el cliente y discutir las necesidades a ser abordadas durante la prueba
• Preparar y firmar documentos NDA con el cliente
• Organizar un equipo de hacking ético y preparar el cronograma para pruebas
• Conducir la prueba
• Analizar los resultados de la prueba y elaborar un reporte
• Presentar el reporte de hallazgos hacia el cliente

Sin embargo existen limitaciones también. A menos las empresas primero conozcan aquello lo cual están buscando y porque están contratando un proveedor externo para hackear sus sistemas, es probable no obtengan mucha ganancia desde la experiencia. Un hacker ético por lo tanto puede únicamente ayudar a la organización a comprender mejor su sistema de seguridad. Es responsabilidad de la organización implementar las salvaguardas correctas sobre la red.

Fuentes:

https://ieeexplore.ieee.org/document/9155846
 

Conforme la tecnología crece a un ritmo rápido, también crecen los riesgos asociados con este. Para vencer a un hacker es necesario pensar como uno de ellos.

El hacking ético es necesario pues permite contrarrestar los ataques de hackers maliciosos anticipando los métodos utilizados para acceder hacia un sistema. El hacking ético ayuda a predecir varias posibles vulnerabilidades con suficiente antelación y a rectificarlas sin incurrir en ningún tipo de ataque externo. Dado el hacking involucra pensamiento creativo, probar vulnerabilidades, y auditorías de seguridad, estas solas no pueden garantizar la red sea segura. Para alcanzar seguridad las organizaciones deben implementar una estrategia de “defensa en profundidad”, penetrando sus redes para estimar y exponer vulnerabilidades.

Razones por las cuales las organizaciones contratan hackers éticos

• Para prevenir los hackers ganen acceso hacia los sistemas de información de la organización
• Para descubrir vulnerabilidades en los sistemas y explorar su potencial como un riesgo
• Para analizar y fortalecer la postura en seguridad de una organización, incluyendo políticas, infraestructura de protección para la red, y prácticas de usuario final
• Para proporcionar medidas preventivas adecuadas para evitar brechas de seguridad
• Para ayudar a salvaguardar los datos de los clientes
• Para mejorar la concienciación sobre seguridad a todos los niveles en una empresa

La evaluación realizada por un hacker ético sobre la seguridad del sistema de información de un cliente busca responder tres preguntas básicas:

1. ¿Qué puede un atacante ver en el sistema?

Las verificaciones de seguridad normales por los administradores de sistemas frecuentemente pasan por alto vulnerabilidades. El hacker ético debe pensar como un atacante podría ver durante las fases de reconocimiento y escaneo de un ataque.

2. ¿Qué puede hacer un intruso con esta información?

El hacker ético debe discernir la intención y propósito detrás de los ataques para determinar las medidas correctivas adecuadas. Durante las fases de ganar acceso y mantener acceso de un ataque, el hacker ético necesita ir un paso por delante del hacker para proporcionar la protección adecuada.

3. ¿Son los intentos de los atacantes notados por los sistemas?

Algunas veces los atacantes intentan irrumpir un sistema durante días, semanas, o incluso meses. Otras veces ganan acceso pero esperan antes de causar algún daño. En lugar de esto se toman el tiempo para evaluar el posible uso de la información expuesta. Durante las fases de reconocimiento y cubrir  rastros, el hacker ético debe detectar y detener el ataque.

Después de realizar ataques los hackers pueden borrar sus rastros modificando archivos para el registro de eventos y creando puertas traseras, o desplegando troyanos. Los hackers éticos deben investigar si tales actividades han sido registradas y cuales mecanismos preventivos han sido tomados. Esto no únicamente les provee con una evaluación sobre la proeficiencia de los atacantes, sino también les proporciona indicios sobre los mecanismos de seguridad existentes del sistema siendo evaluado. El proceso entero del hacking ético y la subsecuente aplicación de parches de las vulnerabilidades descubiertas depende de preguntas tales como:

• ¿Qué es aquello lo cual la organización intenta proteger?
• ¿Contra quién o qué está intentado protegerla?
• ¿Están todos los componentes del sistema de información adecuadamente protegidos, actualizados, y parcheados?
• ¿Cuánto tiempo, esfuerzo, y dinero está el cliente dispuesto a invertir para ganar una protección adecuada?
• ¿Los mecanismos de seguridad de información cumplen con los estándares de la industria y legales?

Algunas veces para ahorrar recursos o prevenir posteriores descubrimientos, el cliente podría decidir finalizar la evaluación después de la primera vulnerabilidad es encontrada; por lo tanto es importante el hacker ético y el cliente establezcan previamente un marco de trabajo adecuado para investigación. El cliente debe estar convencido sobre la importancia de estos ejercicios de seguridad a través de descripciones concisas de aquello lo cual está sucediendo y aquello lo cual está implicado. El hacker ético también debe recordar transmitir hacia el cliente nunca es posible proteger los sistemas completamente, pero estos pueden siempre ser mejorados.

Fuentes:

https://www.knowledgehut.com/blog/security/need-of-ethical-hacking