Nav
print $PAGE 2>/dev/null -rwxr-xr-- 1 ["uqbarun"] uqbar Nov 13 24 "/cursos/pentesting/documentacion-y-legislacion/index"

Contrato de Acuerdo de Confidencialidad (ADC)

Se refiere a un contrato de confidencialidad entre el cliente y el contratista con respecto a toda la información escrita o verbal relacionada con un pedido/proyecto. El contratista se compromete a tratar toda la información confidencial a la que tenga acceso como estrictamente confidencial, incluso después de que se complete el pedido/proyecto. Además, cualquier excepción a la confidencialidad, la transferibilidad de derechos y obligaciones, y las penalizaciones contractuales se estipularán en el acuerdo. El NDA debe ser firmado antes de la reunión inicial o, a más tardar, durante la reunión antes de que se discuta cualquier información en detalle. Son contrarios a la Ley 1581 de 2012 los acuerdos de confidencialidad que fijen un tiempo para mantener la reserva de la información de los titulares[^1].

[^1] Son contrarios a la Ley 1581 de 2012 los acuerdos de confidencialidad que fijen un tiempo para mantener la reserva de la información de los titulares. | Superintendencia de Industria y Comercio. (s. f.). Recuperado 27 de junio de 2023, de https://www.sic.gov.co/boletin/juridico/habeas-data/son-contrarios-la-ley-1581-de-2012-los-acuerdos-de-confidencialidad-que-fijen-un-tiempo-para-mantener-la-reserva-de-la-informaci%C3%B3n-de-los-titulares

Bajada de requisitos

Antes de firmar cualquier contrato es necesario conocer las necesitades del cliete realizando por ejemplo un cuestionario. Un cuestionario puede tener las siguietnes preguntas:

¿Cuántos hosts activos se esperan? ¿Cuántas IP/rangos CIDR están dentro del alcance? ¿Cuántos dominios/subdominios están dentro del alcance? ¿Cuántas SSID inalámbricas están dentro del alcance? ¿Cuántas aplicaciones web/móviles hay? Si la prueba requiere autenticación, ¿cuántos roles existen (usuario estándar, administrador, etc.)? Para una evaluación de phishing, ¿a cuántos usuarios se dirigirá? ¿El cliente proporcionará una lista, o se nos requerirá recopilar esta lista a través de OSINT? Si el cliente solicita una evaluación física, ¿cuántas ubicaciones hay? Si hay varios sitios dentro del alcance, ¿están geográficamente dispersos? ¿Cuál es el objetivo de la evaluación del Equipo Rojo (Red Team)? ¿Hay alguna actividad (como ataques de phishing o seguridad física) fuera del alcance? ¿Se desea una evaluación de seguridad por separado de Active Directory? ¿Se realizará la prueba de red desde un usuario anónimo en la red o desde un usuario de dominio estándar? ¿Es necesario evadir el Control de Acceso a la Red (NAC, por sus siglas en inglés)? ¿Cuántos servidores están dentro del alcance? ¿Qué sistemas operativos y servicios se ejecutan en esos servidores? ¿Se requiere la evaluación de dispositivos de red, como firewalls, routers o switches? ¿Hay servicios específicos que se deben excluir del alcance de las pruebas? ¿Se espera que los datos sensibles estén presentes en los sistemas bajo prueba? En caso afirmativo, ¿qué tipo de datos y en qué cantidad? ¿Existe alguna limitación de tiempo para realizar las pruebas? Por ejemplo, períodos en los que no se pueden realizar pruebas debido a la alta carga de trabajo o a horarios específicos. ¿Se permitirá el uso de técnicas de ingeniería social en el pentesting? Si es así, ¿se proporcionarán detalles adicionales sobre los objetivos o escenarios específicos? ¿Existen regulaciones o estándares específicos de cumplimiento que debamos tener en cuenta durante las pruebas? (por ejemplo, HIPAA, PCI DSS, ISO 27001) ¿Se requerirá la explotación y demostración de impacto para las vulnerabilidades identificadas, o solo se requiere un informe detallado? ¿El cliente tiene alguna preferencia en cuanto a las herramientas o metodologías a utilizar durante las pruebas? ¿Se requiere un análisis de seguridad del código fuente de las aplicaciones web o móviles? ¿Se espera que el pentesting sea realizado de manera remota o en el sitio del cliente? ¿Hay alguna otra información relevante que debamos tener en cuenta para la realización de las pruebas?

Contrato

La elaboración de un contrato de pentesting puede variar dependiendo de las necesidades específicas de las partes involucradas, pero aquí hay algunos elementos clave que se pueden incluir:

Metas

Las metas son hitos que deben alcanzarse durante el pedido/proyecto. En este proceso, se comienza con las metas significativas y se continúa con metas más detalladas y pequeñas.

Alcance

Se discuten y definen los componentes individuales que se probarán. Estos pueden incluir dominios, rangos de IP, hosts individuales, cuentas específicas, sistemas de seguridad, etc. Nuestros clientes pueden esperar que descubramos uno u otro punto por nosotros mismos. Sin embargo, la base legal para probar los componentes individuales tiene la máxima prioridad aquí. La siguiente información puede ser incluida

Tipo de Prueba de Penetración

Al elegir el tipo de prueba de penetración, presentamos las opciones individuales y explicamos las ventajas y desventajas. Dado que ya conocemos las metas y el alcance de nuestros clientes, podemos y debemos hacer una recomendación sobre lo que aconsejamos y justificar nuestra recomendación en consecuencia. La decisión final sobre qué tipo se utilizará corresponde al cliente.

Metodologías

Ejemplos: OSSTMM, OWASP, análisis automatizado y manual no autenticado de los componentes de red internos y externos, evaluaciones de vulnerabilidad de los componentes de red y aplicaciones web, vectorización de amenazas de vulnerabilidad, verificación y explotación, y desarrollo de exploits para facilitar técnicas de evasión.

Ubicaciones de Prueba de Penetración

Externo: Remoto (a través de una VPN segura) y/o Interno: Interno o Remoto (a través de una VPN segura)

Estimación de Tiempo

Para la estimación de tiempo, necesitamos la fecha de inicio y finalización de la prueba de penetración. Esto nos da una ventana de tiempo precisa para realizar la prueba y nos ayuda a planificar nuestro procedimiento. También es vital preguntar explícitamente cómo se llevarán a cabo las ventanas de tiempo de los ataques individuales (Explotación / Pos-Explotación / Movimiento Lateral). Estos pueden realizarse durante o fuera del horario laboral regular. Cuando se prueba fuera del horario laboral regular, el enfoque se centra más en las soluciones de seguridad y los sistemas que deben resistir nuestros ataques.

Terceros

Para los terceros, se debe determinar a través de qué proveedores de terceros nuestro cliente obtiene servicios. Estos pueden ser proveedores de servicios en la nube, proveedores de servicios de internet y otros proveedores de alojamiento. Nuestro cliente debe obtener el consentimiento por escrito de estos proveedores, en el que se describa que están de acuerdo y son conscientes de que ciertas partes de su servicio estarán sujetas a un ataque simulado de hacking. También es muy recomendable exigir que el contratista nos reenvíe el permiso de terceros enviado para que tengamos una confirmación real de que se ha obtenido dicho permiso.

Prueba Evitativa

La prueba evitativa es la prueba de evadir y pasar tráfico y sistemas de seguridad en la infraestructura del cliente. Buscamos técnicas que nos permitan descubrir información sobre los componentes internos y atacarlos. Depende de si nuestro contratista desea que usemos tales técnicas o no.

Riesgos

También debemos informar a nuestro cliente sobre los riesgos involucrados en las pruebas y las posibles consecuencias. Con base en los riesgos y su gravedad potencial, podemos establecer juntos las limitaciones y tomar ciertas precauciones.

Limitaciones y Restricciones del Alcance

También es esencial determinar qué servidores, estaciones de trabajo u otros componentes de red son esenciales para el correcto funcionamiento del cliente y sus clientes. Tendremos que evitar estos y no debemos influir en ellos, ya que esto podría llevar a errores técnicos críticos que también podrían afectar a los clientes de nuestro cliente en producción.

Manejo de Información

HIPAA, PCI, HITRUST, FISMA/NIST, etc.

Información de Contacto

Para la información de contacto, debemos crear una lista con el nombre de cada persona, su cargo, título laboral, dirección de correo electrónico, número de teléfono, número de teléfono de oficina y un orden de prioridad para la escalación.

Líneas de Comunicación

También se debe documentar qué canales de comunicación se utilizan para intercambiar información entre el cliente y nosotros. Esto puede implicar correspondencia por correo electrónico, llamadas telefónicas o reuniones personales.

Informes

Además de la estructura del informe, se discuten los requisitos específicos del cliente que el informe debe contener. Además, aclaramos cómo se realizará la presentación de los resultados y si se desea una presentación de los mismos.

Términos de Pago

Finalmente, se explican los precios y los términos de pago.

¿Qué sigue?


0.1 glosario << >> 2 Recopilacion de información

> Exit code: 1