El objetivo de las auditorías de seguridad de red basadas en tests de intrusión es la comprobación de los niveles reales de seguridad de la red que contiene los sistemas de información, así como la elaboración de una lista de actuaciones recomendadas respecto a ésta.

Los tests de intrusión, también conocidos como “Análisis de Penetración” o “Hacking Ético”, son actualmente una práctica habitual para conocer el nivel de seguridad que tiene una organización. Se encargan de evaluar el tipo y extensión de las vulnerabilidades de sistemas y redes en términos de confidencialidad e integridad. Comprueban la seguridad de la red y verifican empíricamente la resistencia de las aplicaciones y servicios de usos indebidos.

El éxito del ataque se consigue al ver información secreta, obtener acceso “de escritura” a un dispositivo no seguro, evitar un control de autorización, anular cualquier característica de seguridad, o al alterar el funcionamiento normal de algún dispositivo, introduciendo un riesgo en la seguridad.

La metodología utilizada ha sido diseñada de acuerdo con la legislación de protección personal de datos y seguridad de la información. Las pruebas realizadas aportan información sobre aspectos de la privacidad de la información contemplados en la mayoría de las legislaciones. La ejecución de estos tests no supone el cumplimiento de las legislaciones preceptivas pero puede aportar información sobre aspectos de incumplimiento de éstas.

Dependiento del tipo de acceso, podemos distinguir diferentes tipos de auditorías técnicas de seguridad basadas en test de intrusión: