Un proyecto es un esfuerzo temporal que se lleva a cabo para crear un producto, servicio o resultado único. Si bien la ciberseguridad es un proceso continuo, cada proyecto tiene un inicio y un fin, y en ethical hacking esto no es la excepción, se requiere gestionar los procesos y etapas de un proyecto para garantizar el objetivo del mismo en términos esencialmente de alcance, costo y tiempo (los 3 objetivos). Si alguno de estas aristas falla durante el proyecto, la calidad del producto resultante se verá afectada directamente.Una prueba de intrusión resultará inútil si es que no proporciona algo tangible al propietario de los sistemas, por ello, el entregable de una prueba de ethical hacking comúnmente es una serie de informes donde se exponen los sistemas o recursos en los que se ha logrado penetrar hasta llegar a los datos confidenciales o donde se logró comprometer su comportamiento, accediendo a información crítica para la continuidad del negocio, misma que podría afectar negativamente al cumplimiento de metas empresariales. Toda esta actividad, requiere el involucramiento de la alta dirección, patrocinando el proyecto de ethical hacking y supervisando desde el más alto nivel que las remediaciones subsanen las vulnerabilidades de ciberseguridad de la organización de una manera efectiva.Para que la gestión del ethical hacking tenga éxito y sus beneficios sean compartidos en la organización hacen falta tres ingredientes esenciales: el apoyo de la máxima autoridad, el acuerdo y compromiso del responsable ejecutivo del área de TI y la aceptación por parte de las áreas de negocio involucradas, como ser, unidades de control y gerencias propietarias de los sistemas a testear.Asimismo, la clave para un Pen Test satisfactorio y valorable es que el CISO pueda definir claramente los objetivos, alcance, metas específicas, limitaciones, y actividades aceptables para conducir el ethical hacking como un proyecto de ciberseguridad alineado a los objetivos de negocio.Este libro fue desarollado principalmente desde la perspectiva del cliente (es decir, el CISO de una organización que contrata un proyecto de ethical hacking para hacer una parte de su proyecto o de su programa de gestión de vulnerabilidades, que es mucho más grande) y que tiene el poder suficiente para controlar el presupuesto y los recursos.Las pruebas de ethical hacking actualmente no solo evaluan perfiles de riesgo de las organizaciones, sino también su perfil de seguridad, es decir, su capacidad de detectar, reaccionarse y recuperarse ante diferentes tipos de ataque informático. Es por todo esto que la presente obra expone a su vez una metodología adecuada para la calificación de riesgos a un nivel de microfactores, es decir, a nivel de vulnerabilidades específicas, que en este tipo de proyetos facilmente suelen llegar a ser decenas o cientas según el ámbito de evaluación.