Claudia Rincón Pérez, directora de Factoría IT, señala que las herramientas y los escáneres son buenos para usar, pero solo pueden encontrar vulnerabilidades conocidas. Muchas vulnerabilidades son del tipo que solo un experto en seguridad capacitado detectaría. Desafortunadamente, la falta de profesionales de seguridad calificados y bien capacitados exacerba los desafíos de las organizaciones.
La brecha de talento en seguridad no se está reduciendo y la gente está proponiendo algunas ideas extravagantes para cerrarla. La última es la prueba de penetración automatizada: la idea es que de alguna manera podamos crear bots que investiguen las defensas empresariales y descubran vulnerabilidades. Sin embargo, aquí está la cosa: esa es la antítesis de lo que es pentesting. Un pentest real no es un trabajo de escaneo automatizado. Un verdadero pentest aprovecha la mente creativa de un ciberprofesional experimentado.
El objetivo del pentesting es ser creativo, pensar desde la perspectiva de un atacante e identificar vulnerabilidades que las máquinas y otras lógicas preintegradas no pueden, y por lo tanto estar un paso por delante de los ciberdelincuentes. Cuando enseñamos a los bots a identificar y abordar algunas vulnerabilidades, los piratas informáticos se volverán más creativos y encontrarán otras nuevas para evitar la detección de estos controles automatizados.
Debemos automatizar todo lo que podamos, pero confiar solo en las pruebas de seguridad automatizadas de sus sistemas y redes no protegerá su empresa. La única forma de solucionar este problema es con grandes profesionales de la ciberseguridad que puedan vencerlos.
Коментарі