El ROI (Return Of Investment), o "Retorno de la Inversión", es un concepto que se usa mucho en la administración de empresas, y que a las personas técnicas no nos suele importar, pero es importante.

Los Penetration Test son una de esas actividades para las cuales es muy difícil calcular un ROI, porque verdaderamente la empresa no va a "ganar" haciendo un Penetration Test. Lo que va a hacer la empresa es a "no perder", y eso es un poco más difícil de demostrar.

La empresa va a "no perder", al detectar de forma temprana cómo podrían atacarla, y prepararse adecuadamente para bloquear dichos ataques.

De aquí surgen varias preguntas que las personas suelen hacerse al momento de identificar los beneficios de un Penetration Test:

1. "¿Realmente alguien puede querer a atacarme?"
2. "¿Hacer un Penetration Test reduce el riesgo de un ataque?"
3. "¿Cada cuánto tengo que hacer un Penetration Test?"

Sobre si alguien va a querer atacarnos, la respuesta siempre va a ser si. Por el simple motivo de que muchos ataques no están dirigidos a empresas en particular, si no que se lanzan de forma automatizada y pueden alcanzar a cualquier empresa que sea vulnerable.

Sobre si el penetration test reduce el riesgo de ataque, la respuesta va a ser siempre no, porque el Penetration Test únicamente deja en evidencia cómo la empresa puede ser atacada y cómo se podría llegar a proteger de dichos ataques, pero la implementación de las medidas de seguridad queda fuera del alcance del Penetration Test.

Sobre cada cuanto tiempo habría que hacer un Penetration Test, la respuesta siempre va a ser depende, porque depende de los cambios que haya habido en la infraestructura de la empresa. Como mínimo, se recomienda hacer un Penetration Test por año.

Por último, cabe destacar que un Penetration Test no garantiza detectar "todos" los posibles vectores de ataque, pero nos lleva a estar preparados de forma general y aumenta el nivel de protección tanto de la infraestructura como de los procesos de la empresa.

Sumando todo esto, la mejor manera de tener un buen ROI no es hacer un Penetration Test, es hacer muchos, constantemente.

Pero... ¿¿¿por qué???

Si en lugar de hacer "el pentration test", que tiene un inicio y un final, lo que hacemos es recibir ataques de forma constante, generamos un proceso que se adapta mejor al día a día laboral y a la mejora contínua. Veamos cómo cambia la respuesta a las preguntas anteriores:

"¿Realmente alguien puede querer a atacarme?"

Si, me atacan todo el tiempo. Porque constantemente recibo ataques de un servicio de Penetration Test Contínuo (también conocido como Red Team), entonces, mis empleados están todo el tiempo en alerta y preparados para actuar.

"¿Hacer un Penetration Test reduce el riesgo de un ataque?"

Sí, debido a que al recibir ataques todo el tiempo, mis empleados mejoran contínuamente la seguridad de la infraestructura y los procesos. Esto no sólo impacta en mi personal técnico, si no que mis empleados y yo estamos acostumbrados a recibir campañas de phishing simuladas, por lo que no sólo los sistemas, si no también las personas, están alertas.

"¿Cada cuánto tengo que hacer un Penetration Test?"

Esto ya no me preocupa, todo el tiempo la seguridad de mis datos está siendo probada, por lo que también tengo una oportunidad constante de mejorar. Ya no tengo que esperar al Penetration Test del próximo año para volver a "ver cómo estamos", si no que podemos hacer mediciones contínuas.

Viendo esto, podemos pensar en tres nuevas preguntas:

"¿Hacerlo de esta forma es más costoso?"

No. Debido a que deja de ser un gran gasto anual de una vez, y pasa a ser un servicio. Que puede pagarse mes a mes. Y no solamente sirve para el ataque, si no que genera un feedback constante entre el personal de defensa (o "Blue Team") y el de ataque (o "Red Team). Por lo tanto, también estoy ahorrando en horas de consultoría e implementación de mejoras, al mismo tiempo mis empleados están cada vez más preparados para responder adecuadamente, por lo tanto, también los capacito.

"¿Entonces los Penetration Tests ya no son necesarios?"

Los Penetration Test siguen siendo necesarios, pero es momento de cambiar de metodología, y dejar de pensar en "el Penetration Test", como algo que hacemos una vez por año. Empecemos a pensar en un servicio constante, para estar siempre listos a responder ante un ataque.