Si bien el procedimiento típico de prueba de penetración puede variar un poco de una persona a otra, existen algunas pautas generales que pueden hacer que el proceso sea más fácil y efectivo. Las pruebas de penetración generalmente comienzan con una planificación exhaustiva para determinar el objetivo de la prueba y cómo se ejecutará. A partir de este plan, pueden comenzar las pruebas reales, que generalmente incluyen escaneo y mapeo de la red, intentos de obtener contraseñas de la red y ataques contra la red para demostrar cómo se pueden explotar las debilidades. Una vez que se completan estas pruebas, el procedimiento de prueba de penetración estándar generalmente incluye la creación de documentación e informes sobre los resultados de la prueba.
Un procedimiento de prueba de penetración se refiere al proceso mediante el cual alguien puede realizar una prueba de penetración en una red informática. Este procedimiento generalmente comienza con la planificación de la prueba, a menudo con un equipo de empleados y administración de seguridad de la información. La etapa de planificación se utiliza para determinar cuál es el objetivo de la prueba en su conjunto y cómo deben realizarse las pruebas. Esta etapa es bastante importante, ya que puede facilitar el resto de las pruebas y les da a los evaluadores la oportunidad de asegurarse de que comprenden los métodos que se les permite o se espera que utilicen.
Una vez que se crea un plan para establecer un procedimiento general, puede comenzar la prueba. Esto generalmente comienza con escaneos y mapeo de la red por parte del evaluador para buscar debilidades que pueda usar. Hay una serie de programas de software que se pueden utilizar para esta parte del proceso, que pueden ayudar al evaluador a trazar un mapa de la red e identificar posibles exploits y vulnerabilidades dentro de ella.
Una vez que se encuentran estas debilidades, un procedimiento de prueba de penetración generalmente implica un ataque al sistema para ver qué tan vulnerable es realmente. Los evaluadores a menudo intentan obtener acceso a las contraseñas del sistema mediante una combinación de métodos, que incluyen el descifrado de contraseñas y la ingeniería social. El descifrado es un proceso mediante el cual alguien usa software de computadora para tratar de determinar una contraseña, mientras que la ingeniería social incluye métodos mediante los cuales un atacante intenta engañar a un empleado para que divulgue una contraseña. A medida que el evaluador obtiene información diferente, puede continuar el ataque e intentar obtener acceso al sistema a través de medios no autorizados.
Una vez que se completa la prueba, un procedimiento de prueba de penetración estándar generalmente dicta que se produzcan informes y documentación con respecto a la prueba. Esto debe seguir el plan establecido durante la primera etapa de la prueba y proporcionar información que incluya lo que se descubrió durante la prueba. Los informes deben proporcionar información clara a los ejecutivos de la empresa con respecto a la importancia de los cambios que deben realizarse para mejorar la seguridad, e información detallada para los equipos de seguridad de la empresa con consejos sobre cómo implementar esos cambios.