PenTest basa su éxito en la recluta para cada tipo de proyecto de los mejores "Pen-Testers" existentes en la problemática a auditar. Una vez seleccionados, forma un equipo de auditores o "Tiger Team" que pone al servicio del cliente. Normalmente los "Tiger Team" de "PENTEST" no solo son los mejores, sino también los más motivados pues trabajan a partir de la propia libertad de sus conocimientos y experiencia y de la que concede Pentest para el desarrollo de su función profesional.

Nuestra filosofía de trabajo:

1.- Dedicación absoluta: Cada Tiger-Team tiene un proyecto asignado. El mismo equipo nunca simultanea dos actuaciones de envergadura.

2.- Máxima calidad: los controles de calidad de PenTest son escrupulosos durante toda la fase de ejecución del servicio: la preparación, el desarrollo y la presentación de resultados.

3.- Experiencia real : que todos nuestros consultores poseen. La experiencia -contrastable- es un valor imprescindible para formar parte de un equipo de PenTest.

4.- Efectividad: Los clientes que ya han probado nuestros servicios son nuestra mejor referencia. No nos limitamos a presentar informes de "supuestas" y "teóricas" vulnerabilidades, sino que llevamos a la práctica la explotación real de dichas vulnerabilidades. Esto tiene un efecto didáctico importante y además sirve para ponderar de un modo palpable la criticidad de los fallos reportados.

5.- Metodología estandarizada: Nuestros pentest son artesanales, pero se basan en metodología OSSTMM e ISSAF. Esto le permite al cliente comparar los resultados con tests anteriores.

En los tests de intrusión se persiguen fundamentalmente los siguientes objetivos:

» Enumerar y aprovechar, con el máximo grado de fiabilidad posible, todas las debilidades de los sistemas analizados:

   · Detección de vulnerabilidades conocidas (problemas de seguridad reportados y
     reconocidos por los fabricantes de software, sistemas operativos o hardware)

   · Problemas que aunque no son reconocidos públicamente por los fabricantes son
     perfectamente conocidos por todos los expertos en seguridad telemática.

» Filtrar, en la medida de lo posible, los falsos positivos en los problemas de seguridad más relevantes que se hayan detectado.

» Determinar la viabilidad de un ataque de aquellos fallos que no se puedan aprovechar directamente:

   · Disponibilidad o no de exploits públicos

   · Dificultad en la ejecución de los ataques -programación de exploits, preparación de
     operativos, etc.-

   · Tiempo estimado en la realización de dichos ataques, etc.

   · Localizar errores de configuración de sistemas o aplicaciones, detectables
     remotamente, que facilitan la acción intrusiva de un atacante.

   · Identificar vulnerabilidades desconocidas hasta el momento (o no reportadas
     públicamente) mediante el análisis manual de los sistemas del cliente. En caso de
     descubrirse algún nuevo bug, el cliente es notificado inmediatamente, antes incluso
     que el propio fabricante (se avisa al fabricante bajo autorización expresa del cliente)

   · Realizar un informe claro, detallado y lo más práctico posible.

» Presentar el estado de la seguridad de los sistemas auditados desde el punto de vista de un atacante externo

   · Se entregará un completo análisis de todos los posibles problemas detectados
     (centrándose principalmente en aquellos puntos críticos que pueden ser fácilmente
     corregidos por el propio cliente)

» En caso de ser necesario: realización de una serie de propuestas adicionales sobre mejoras en las actuales medidas de seguridad.