Pruebas de penetración
Evaluación de la seguridad
Roche asigna recursos para mantener las actividades de pruebas de penetración internas y externas estándar del sector para proteger la seguridad de los pacientes y los usuarios.
Roche se dedica a proteger la seguridad de los pacientes y los usuarios mediante la implementación de un programa de validación de seguridad objetivo y coherente. Asignamos recursos significativos para mantener las actividades de pruebas de penetración (pentesting) internas y externas líderes en la industria como parte fundamental de nuestra estrategia de seguridad integral.
En Roche, las pruebas de seguridad no se realizan como un solo evento. Es un proceso continuo y adaptativo. Las pruebas de penetración se realizan sistemáticamente en momentos críticos como:
Antes del lanzamiento de un producto.
Después de cambios arquitectónicos significativos.
De forma recurrente para adaptarse a un panorama de seguridad cambiante.
Para fomentar aún más la vigilancia continua, complementamos estas pruebas internas con programas Bug Bounty, invitando a la comunidad de expertos en seguridad a ayudar a identificar posibles vulnerabilidades.
El alcance de nuestras actividades de pruebas de penetración implica una planificación cuidadosa que está diseñada para garantizar que se tenga en cuenta toda la superficie de ataque de nuestros productos. Esto incluye evaluaciones exhaustivas de nuestras soluciones basadas en la nube:
Aplicaciones web.
API.
Infraestructura en la nube.
Aplicaciones móviles.
Además, la validación de la seguridad se extiende a nuestra cartera de instrumentos de dispositivos médicos.
Para mantener la objetividad, las pruebas de penetración las realiza un equipo de seguridad interno independiente y dedicado, separado de las organizaciones de desarrollo. Esta separación se adhiere a la norma IEC 81001-5-1:2021 y, en ocasiones, se complementa con socios terceros líderes de su sector. La amplia experiencia y habilidades técnicas de nuestros especialistas están validadas por certificaciones reconocidas internacionalmente, incluyendo:
Profesional certificado en seguridad ofensiva (OSCP): pruebas de penetración prácticas avanzadas
Probador de penetración registrado (CRT) CREST: pruebas profesionales, éticas y de alta calidad
Hacker ético certificado (CEH): técnicas fundamentales de hackeo ético
Esta alta cualificación garantiza que nuestras metodologías analíticas permanezcan actualizadas y se ajusten a las mejores prácticas.
Nuestras pruebas emplean una metodología rigurosa de "caja blanca", que permite una evaluación exhaustiva que está alineada con los objetivos del plan de pruebas. Los evaluadores tienen acceso a cosas como:
Información técnica.
Código.
Detalles de configuración.
Arquitecturas de productos y sistemas.
Este esfuerzo permite a los evaluadores facilitar una evaluación exhaustiva. Nuestro proceso se adhiere a las mejores prácticas y marcos de seguridad líderes de la industria, como el Open Worldwide Application Security Project (OWASP) Top 10 y los puntos de referencia establecidos por el Center for Internet Security (CIS).