Pruebas de penetración: cuestiones legales
Antes de permitir que alguien pruebe datos confidenciales, las empresas normalmente toman medidas con respecto a la disponibilidad, confidencialidad e integridad de los datos. Para que este acuerdo esté vigente, el cumplimiento legal es una actividad necesaria para una organización.
Las regulaciones legales más importantes que deben observarse al establecer y mantener sistemas de seguridad y autorización se presentan a continuación en el contexto para su uso en la implementación de pruebas de penetración.
¿Cuáles son los problemas legales?
A continuación se presentan algunos de los problemas que pueden surgir entre un evaluador y su cliente:
El probador es desconocido para su cliente, por lo que, por qué motivo, debería tener acceso a datos confidenciales.
¿Quién tomará la garantía de seguridad de los datos perdidos?
El cliente puede culpar por la pérdida de datos o la confidencialidad al tester
Las pruebas de penetración pueden afectar el rendimiento del sistema y pueden generar problemas de confidencialidad e integridad; por lo tanto, esto es muy importante, incluso en una prueba de penetración interna, que es realizada por personal interno para obtener permiso por escrito. Debe haber un acuerdo por escrito entre un evaluador y la empresa / organización / individuo para aclarar todos los puntos relacionados con la seguridad de los datos, divulgación, etc. antes de comenzar la prueba.
UN statement of intentdebe ser redactado y debidamente firmado por ambas partes antes de cualquier trabajo de prueba. Debe quedar claramente delineado el alcance del trabajo y eso, puede que esté o no haciendo mientras realiza las pruebas de vulnerabilidad.
Para el evaluador, es importante saber quién es el propietario de la empresa o los sistemas en los que se solicita trabajar, y la infraestructura entre los sistemas de prueba y sus objetivos que pueden verse potencialmente afectados por las pruebas de penetración. La idea es asegurarse;
the tester tiene el permiso por escrito, con parámetros claramente definidos.
the company tiene los detalles de su pen tester y la garantía de que no filtrará ningún dato confidencial.
Un acuerdo legal es beneficioso para ambas partes. Recuerde, las regulaciones cambian de un país a otro, así que manténgase al tanto de las leyes de su país respectivo. Firme un acuerdo solo después de considerar las leyes respectivas.