About the Book
Un proyecto es un esfuerzo temporal que se lleva a cabo para crear un producto, servicio o resultado único. Si bien la ciberseguridad es un proceso continuo, cada proyecto tiene un inicio y un fin, y en ethical hacking esto no es la excepción, se requiere gestionar los procesos y etapas de un proyecto para garantizar el objetivo del mismo en términos esencialmente de alcance, costo y tiempo (los 3 objetivos). Si alguno de estas aristas falla durante el proyecto, la calidad del producto resultante se verá afectada directamente.Una prueba de intrusión resultará inútil si es que no proporciona algo tangible al propietario de los sistemas, por ello, el entregable de una prueba de ethical hacking comúnmente es una serie de informes donde se exponen los sistemas o recursos en los que se ha logrado penetrar hasta llegar a los datos confidenciales o donde se logró comprometer su comportamiento, accediendo a información crítica para la continuidad del negocio, misma que podría afectar negativamente al cumplimiento de metas empresariales. Toda esta actividad, requiere el involucramiento de la alta dirección, patrocinando el proyecto de ethical hacking y supervisando desde el más alto nivel que las remediaciones subsanen las vulnerabilidades de ciberseguridad de la organización de una manera efectiva.Para que la gestión del ethical hacking tenga éxito y sus beneficios sean compartidos en la organización hacen falta tres ingredientes esenciales: el apoyo de la máxima autoridad, el acuerdo y compromiso del responsable ejecutivo del área de TI y la aceptación por parte de las áreas de negocio involucradas, como ser, unidades de control y gerencias propietarias de los sistemas a testear.Asimismo, la clave para un Pen Test satisfactorio y valorable es que el CISO pueda definir claramente los objetivos, alcance, metas específicas, limitaciones, y actividades aceptables para conducir el ethical hacking como un proyecto de ciberseguridad alineado a los objetivos de negocio.Este libro fue desarollado principalmente desde la perspectiva del cliente (es decir, el CISO de una organización que contrata un proyecto de ethical hacking para hacer una parte de su proyecto o de su programa de gestión de vulnerabilidades, que es mucho más grande) y que tiene el poder suficiente para controlar el presupuesto y los recursos.Las pruebas de ethical hacking actualmente no solo evaluan perfiles de riesgo de las organizaciones, sino también su perfil de seguridad, es decir, su capacidad de detectar, reaccionarse y recuperarse ante diferentes tipos de ataque informático. Es por todo esto que la presente obra expone a su vez una metodología adecuada para la calificación de riesgos a un nivel de microfactores, es decir, a nivel de vulnerabilidades específicas, que en este tipo de proyetos facilmente suelen llegar a ser decenas o cientas según el ámbito de evaluación.
About the Author: Israel Rosales, Ingeniero en Informática con maestría en Diseño, Gestión y Dirección de Proyectos. Experiencia general de 14 años en tecnologías y seguridad de la información: Liderando más de 80 servicios de Ethical Hacking para empresas de diferentes sectores (Petroleras, Bancos, Telefónicas, Aseguradoras, Cooperativas, Microfinancieras, Gubernamentales, entre otras), además de experiencia en evaluación de seguridad de infraestructuras críticas DCS/SCADA tanto en petroleras nacionales como multinacionales. Especialista en diseño, elaboración, implementación y medición de políticas, normas y procedimientos de tecnología y seguridad de la información. Experiencia específica de 10 años como Oficial de Seguridad de la Información ejerciendo este cargo en el sector de Gas & petróleo (tanto en petroleras nacionales como multinacionales) y de la Banca. Múltiples Certificaciones Internacionales: CISSP, GIAC GICSP, PCIP, CISA, CISM, CRISC, CEH, CHFI, ITIL, COBIT5, ISO27001LA, ISO 27032LM, CICP. Instructor CISSP acreditado por el ISC2 International. Seminarios oficiales de CISSP impartidos en Bolivia y México DF. Formador de Oficiales de Seguridad de la Información en Bolivia a través del programa de capacitación profesional OSI de Cosim TI. Expositor en eventos nacionales e internacionales sobre Seguridad de la Información. Docente de postgrado en la maestría de Auditoría y Seguridad Informática (UAGRM). Docente en el programa de Especialista SGSI - ISO 27001 de IBNORCA. Docente de pregrado en asignaturas de auditoria de sistemas y seguridad informática, para diferentes universidades (UDI, UTEPSA, UNO). Presidente del Capítulo ISSA Bolivia, 2015 a la fecha. Primer boliviano en obtener la certificación internacional en CiberSeguridad Industrial ICS/SCADA - GICSP del SANS Institute de EE.UU. Primer boliviano en obtener la certificación internacional en Seguridad de Datos de la Industria de Tarjetas de Pago - PCIP otorgada por el PCI Council de EE.UU. Miembro de ISACA, voluntario en la revisión del manual de preparación CISMv15 (2017). Miembro de ISC2, voluntario en la revisión del manual de preparación CISSP CBK (2015).
