La prueba de seguridad es un tipo de prueba de software que descubre vulnerabilidades del sistema y determina que los datos y recursos del sistema están protegidos de posibles intrusos. Garantiza que el sistema de software y la aplicación estén libres de cualquier amenaza o riesgo que pueda causar una pérdida. Las pruebas de seguridad de cualquier sistema se centran en encontrar todas las posibles lagunas y debilidades del sistema que podrían provocar la pérdida de información o la reputación de la organización.
Objetivo de las pruebas de seguridad: El objetivo de las pruebas de seguridad es:
- Identificar las amenazas en el sistema.
- Medir las vulnerabilidades potenciales del sistema.
- Para ayudar a detectar todos los posibles riesgos de seguridad en el sistema.
- Para ayudar a los desarrolladores a solucionar los problemas de seguridad a través de la codificación.
Principio de las pruebas de seguridad: a continuación se presentan los seis principios básicos de las pruebas de seguridad:
- Confidencialidad
- Integridad
- Autenticación
- Autorización
- Disponibilidad
- no repudio
Principales áreas de enfoque en las pruebas de seguridad:
- Seguridad de la red
- Seguridad del software del sistema
- Seguridad de aplicaciones del lado del cliente
- Seguridad de aplicaciones del lado del servidor
Tipos de pruebas de seguridad:
- Escaneo de vulnerabilidades: el escaneo de vulnerabilidades se realiza con la ayuda de un software automatizado para escanear un sistema y detectar los patrones de vulnerabilidad conocidos.
- Escaneo de seguridad: El escaneo de seguridad es la identificación de las debilidades de la red y del sistema. Posteriormente aporta soluciones para reducir estos defectos o riesgos. El escaneo de seguridad se puede llevar a cabo tanto de forma manual como automatizada.
- Pruebas de penetración: Las pruebas de penetración son la simulación del ataque de un hacker malicioso. Incluye un análisis de un sistema en particular para examinar posibles vulnerabilidades de un pirata informático malintencionado que intenta piratear el sistema.
- Evaluación de Riesgos: En las pruebas de evaluación de riesgos se analizan los riesgos de seguridad observados en la organización. Los riesgos se clasifican en tres categorías, es decir, bajo, medio y alto. Esta prueba avala controles y medidas para minimizar el riesgo.
- Auditoría de seguridad: la auditoría de seguridad es una inspección interna de aplicaciones y sistemas operativos en busca de defectos de seguridad. También se puede realizar una auditoría a través de la verificación del código línea por línea.
- Hacking ético: el hacking ético es diferente del hacking malicioso. El propósito de la piratería ética es exponer fallas de seguridad en el sistema de la organización.
- Evaluación de postura: combina escaneo de seguridad, piratería ética y evaluaciones de riesgo para proporcionar una postura de seguridad general de una organización.