Los aspectos legales para un Ethical Hacking

El camino hacia la eCPPT

 

16 de Junio del 2017

Consideraciones y recomendaciones entregadas en el PTP v4 a tener en consideración para un proceso de pentest o ethical hacking desde el punto de vista legal. Podcast incluido.

Introducción

En esta entrada revisaremos nuevamente los objetivos del pentest de cara a nuestro cliente, los aspectos legales involucrados al proceso y la importancia de que tanto objetivos como resultados estén acorde a lo esperado por nuestra contraparte. Dejo al final de la entrada el podcast  con una explicación de lo detallado en esta entrada y que sirve de complemento a la misma.


El objetivo del pentest

Como ya lo he mencionado anteriormente, nuestro cliente desea conocer el estado actual de la seguridad de sus sistemas y/o aplicaciones. Te contrata con el objetivo que puedas proporcionarle lo siguiente:

  1. Una visión general del estado actual de su seguridad.
  2. Un estudio detallado de los problemas de seguridad que encuentres.
  3. Las mejores soluciones posibles para las fallas encontradas.

Teniendo en claro qué es lo que el cliente espera, podemos entregar el mejor servicio y una solución real para las necesidades de quién nos contrata. Y dentro de esto, se encuentran varios puntos de suma relevancia para dejar de manera documental y legítima responsabilidades, alcances y restricciones asociadas al proceso.

 

Los aspectos legales

Existen varios items que debemos considerar al momento de llegar a un acuerdo con nuestro futuro cliente para realizar un pentest. Daré una breve pincelada de cada uno de estos, entendiendo que existen temas legales que se deben analizar con las personas idóneas.

 

NDA - Non Disclosure Agreement

A grandes rasgos, consiste en un documento mediante el cual acuerdas te comprometes a no vas a divulgar la información a la que tengas acceso en tu ethical hacking. Además, se considera la forma en la que almacenarás la información y por cuánto tiempo, con el fin de asegurar que no existan filtraciones de lo obtenido como resultado de tu trabajo.

 

Cláusula de no competencia

En algunos casos, tu cliente te solicita que no le brindes el mismo servicio a su competencia directa, sobre todo considerando el nivel de acceso a información confidencial al que puedes potencialmente tener acceso. Para esto se utiliza la cláusula de no competencia, que debe dejar en claro quién o quienes son los competidores directos y por cuánto tiempo se aplicarán las restricciones que considera, ya que sino puede dejarte atado de manos comercialmente hablando.

 

MOU - Memorandum de entendimiento

Conocido en inglés como el Memorandum of Understanding (MOU), es el documento que define los roles y responsabilidades en el ethical hacking, donde tú te defines como el pentester a cargo (en caso que corresponda) y tu cliente se hace responsable de aceptar las pruebas que realizarás. Específicamente debe definir los encargados de ambas partes y el formato y medio por el cual se realizará la comunicación. Dicho de otro modo, define interlocutores válidos, el método y formato de comunicación.

 

ROE - Rules of engagement

Dentro del contrato de servicios que se presta, dejamos claro al cliente qué es lo que se va a hacer, cómo se hará y el resultado que se obtendrá.

En este punto acordamos los tipos de acceso necesarios para nuestras pruebas, condiciones específicas y todo lo que permita realizar nuestro trabajo de manera eficaz. También debemos indicar la metodología, las herramientas que se utilizarán, las técnicas de hacking permitidas y aquellas que no; también los horarios en que realizarás las pruebas.

Finalmente describir tus entregables y el nivel de profundidad que tendrán, es decir lo que tu cliente puede esperar.

 

Bueno, después de este tema tal vez un poco árido, ya es hora de ponerse manos a la obra con el primer gran tema práctico que revisaré, que según la planificación que expliqué en la hoja de ruta para la eCPPT es la seguridad en aplicaciones web. En la próxima entrada definiré el temario con los tópicos que iré exponiendo. No te lo pierdas!

 

Podcast: