Política de pruebas de seguridad y red teaming

La Política de pruebas de seguridad y red teaming (P40) establece un marco integral para la evaluación y validación continuas de las medidas de ciberseguridad de la organización. Su objetivo principal es garantizar el cumplimiento de normativas como el Artículo 21(2)(f) de NIS2, que exige procesos formales y estructurados para evaluar la eficacia de las actividades de gestión de riesgos de ciberseguridad. Al introducir escaneos de vulnerabilidades periódicos, pruebas de penetración anuales para sistemas críticos y simulaciones periódicas de red team, la política garantiza la identificación proactiva de debilidades que los controles operativos estándar podrían no detectar. El alcance de la política es amplio e incluye todos los sistemas de información críticos, aplicaciones e infraestructura de soporte dentro de la organización. De forma importante, también cubre aspectos de seguridad física, como la ingeniería social y las pruebas de penetración física cuando proceda, para proporcionar un enfoque holístico de la protección de la organización. Todos los equipos internos de seguridad, las empresas externas de pruebas y los propietarios del sistema o propietarios de aplicaciones pertinentes están sujetos a sus requisitos. Las actividades de prueba están cuidadosamente reguladas, requieren autorización y el cumplimiento de reglas definidas para evitar interrupciones y garantizar la seguridad. Los roles y responsabilidades se detallan explícitamente para mantener la rendición de cuentas y agilizar los procesos. El Coordinador de Pruebas de Seguridad, designado por el Director de Seguridad de la Información (CISO), supervisa la planificación, ejecución y elaboración de informes de todas las actividades de pruebas de seguridad. Los equipos internos colaboran tanto en funciones defensivas como de prueba, mientras que los red teams o los probadores de penetración (internos o de terceros) ejecutan escenarios de ataque controlados dentro de parámetros acordados. Los propietarios del sistema garantizan la subsanación oportuna de los problemas identificados, y la dirección integra los hallazgos en los procesos más amplios de gestión de riesgos y de informes de cumplimiento. La política pone un fuerte énfasis en una gobernanza detallada: cada prueba va precedida de la definición del alcance y de las reglas de enfrentamiento, procedimientos estrictos de autorización y una elaboración rigurosa de informes. Subraya la importancia del manejo de datos seguro, exigiendo que cualquier dato real al que se acceda se mantenga confidencial y que en los informes solo se incluyan detalles anonimizados. La subsanación es obligatoria y se realiza seguimiento, con nuevas pruebas para verificar las correcciones. La política también se extiende a sistemas de proveedores y de terceros cuando proceda, garantizando la alineación en toda la cadena de suministro. La mejora continua es un tema destacado: las lecciones derivadas de hallazgos recurrentes deben influir en la política, las normas de configuración y los planes de respuesta a incidentes. Se exigen programas de formación para el personal de TI, desarrollo y dirección para fomentar la concienciación, reforzar la disciplina operativa y mantener la vigilancia frente a amenazas emergentes. Todas las actividades de prueba se registran y se auditan periódicamente para confirmar la eficacia, el cumplimiento de las obligaciones reglamentarias y el cierre oportuno de las acciones de remediación. Las revisiones se programan anualmente o tras incidentes importantes, garantizando que la política se mantenga actualizada con el dinámico panorama de amenazas.