..::Infotech::..

Contáctenos

Suscripción a boletines

Solicitud de servicio

Chat

Se trata de un servicio de evaluación integral del nivel de seguridad del cliente, a fin de conocer su situación real de seguridad, y realizar una valoración de vulnerabilidades y riesgos, todo ello con el objetivo de orientar en la implementación de medidas de seguridad, y concientizar a la organización.

Nuestra Capacidad de Servicio

Estamos en disposición de ofrecer una Evaluación Completa de la seguridad que analice los diferentes frentes, o auditorias parciales que incluyan uno o varios de los siguientes módulos o componentes del análisis:

	Análisis de Riesgos: Evaluación de activos, sistemas y componentes tecnológicos críticos, los escenarios de amenaza y las vulnerabilidades técnicas asociadas. Valoración de probabilidad e impacto de los riesgos asumidos.
	Análisis de Vulnerabilidades: Evaluación de las vulnerabilidades o debilidades de seguridad provocadas por la infraestructura tecnológica del cliente. Puede estar restringido por áreas de análisis (una o varias de las siguientes):
	Análisis de Vulnerabilidades en la Infraestructura de Servicio a Internet: Evaluación por medios electrónicos de las vulnerabilidades en las redes, dispositivos y servidores de servicio a Internet. Se evalúan las vulnerabilidades en la red perimetral y DMZs que podrían permitir a un posible hacker acceder de forma fraudulenta a los sistemas o datos de la empresa.
	Análisis de Vulnerabilidades en la Infraestructura o Redes Internas: Evaluación por medios electrónicos de las fortalezas y debilidades de las redes frente a un posible atacante interno con acceso a la red interna del cliente. Se evalúa principalmente la fortaleza de las configuraciones por dispositivo y servidor-tipo (las dimensiones de la red interna de las empresas aconsejan a trabajar con una serie de configuraciones-tipo que son evaluadas).
	Análisis de las Redes de Confianza con Socios y Partners: Se evalúan de forma electrónica las vulnerabilidades de redes entre la empresa, clientes y sus socios, partners o colaboradores. Se incluyen VPNs, RAS, Modems de soporte de equipos, etc.
	Análisis de Redes de Soporte Telefónico: Se detectan con medios electrónicos, módems, puntos de acceso remoto, buzones de voz, y otros puntos de entrada telefónicos a los sistemas del cliente, detectando sus vulnerabilidades frente a intentos de intrusión externa.
	Análisis de Vulnerabilidades Frente a Ingeniería Social: Un atacante pude utilizar medios no electrónicos (llamadas telefónicas, anuncios, suplantación de personal técnico, etc.), para conseguir acceso o atacar la infraestructura de soporte a sistemas de información de la empresa-cliente. En este análisis se evalúan los procedimientos y organización del cliente relacionados con Sistemas de Información a fin de detectar debilidades frente a técnicas de ataque no electrónicas (Ingeniería Social).

Además de realizar el análisis de vulnerabilidades mencionado, el equipo de proyecto realiza intrusiones reales en la infraestructura del cliente, obteniendo pruebas de la existencia e impacto potencial de las debilidades encontradas. El objetivo buscado suele ser, el de demostrar por parte de la organización (comités directivos, departamentos de seguridad, etc.) la debilidad frente a ataques reales y concientizar de ello al resto de la organización. Se requiere que la parte de la organización auditada no conozca la existencia de este análisis a fin de que no eleven artificialmente las medidas de seguridad. Algunas son:

	Electrónico Externo: Las pruebas y resultados se obtienen por medios electrónicos y desde un punto de acceso exterior a los sistemas del cliente. Da medida de la debilidad frente a atacantes externos con perfil de hacker electrónico.
	Electrónico Interno: Las pruebas y resultados se obtienen por medios electrónicos y desde un punto de acceso interior, facilitado por el cliente. Valora la debilidad frente a atacantes con acceso interno a las redes, con perfil de empleado, subcontratados, etc.
	Ingeniería Social Externa: El equipo de proyecto no se limita a utilizar medios electrónicos para irrumpir en los sistemas del cliente sino que los combina con técnicas de Ingeniería Social (llamadas telefónicas a servicios de soporte, suplantación de personal técnico, intrusión física en instalaciones del cliente, etc.). Da medida de la debilidad frente a atacantes externos especialistas y con alta motivación en acceder a los sistemas o información del cliente en su ataque.
	Ingeniería Social Interna: El equipo de proyecto, al que se le facilita un acceso al interior de las redes del cliente, no se limita a utilizar medios electrónicos sino que los combina con técnicas de Ingeniería Social (suplantación de personal, spyware hardware, etc.). Da medida de la debilidad frente a atacantes internos (empleados, subcontratas, etc.) fuertemente motivados en acceder de forma fraudulenta o atacar los sistemas o la información de la empresa cliente.

Contramedidas y Recomendaciones: Módulo obligado cualquiera que haya sido el análisis, que establece las medidas de protección recomendadas, a corto o medio plazo, a fin de evitar las vulnerabilidades y debilidades detectadas y reducir el nivel de riesgo asumido por la empresa.

Se trata por tanto de un análisis exhaustivo con varias alternativas de profundización según los módulos seleccionados. INFOTECH utiliza especialistas de primera línea en cualquiera de las evaluaciones efectuadas, aprovechando metodologías como la OSSTM (Open Source Security Testing Methodology), conformes con la norma BS/ISO17799, para asegurar la exhaustividad de sus pruebas.