image
Control Assessment (Evalución de Controles)

Firewall Security Assessment

Este servicio de evaluación de buenas prácticas de seguridad tiene por objetivo realizar un análisis técnico de las configuraciones y reglas de seguridad de los equipos cortafuegos, con el fin de identificar si estos cumplen con las políticas de seguridad, así como también detectar oportunidades de mejora de alguno de sus compontes o elementos de configuración, para los cuales se generan los planes de recomendaciones de remediación correspondientes.

Se revisa a lo menos:

  • Revisión de documentación asociada al equipamiento.
  • Análisis de registros Log.
  • Análisis de IPS.
  • Análisis de VPN.
  • Análisis de resultados y desarrollo de informe.
  • Recertificación de remediación.
image
image

Datacenter Security Assessment

Este servicio de evaluación de buenas prácticas de seguridad tiene por objetivo realizar un análisis técnico de características físicas y operacionales del Datacenter, contrastados con normativas técnicas dispuestas para este tipo de infraestructura (TIER), con el fin de identificar oportunidades de mejora de alguno de sus compontes a niveles de configuración o en su disposición física, para los cuales se generan los planes de recomendaciones de remediación correspondientes.

image

Database Security Assessment

Realizar un análisis técnico de los controles de acceso de la información y la integridad de las bases de datos, con el fin de identificar oportunidades de mejora de alguno de sus compontes a niveles de configuración o mantenimiento, es de lo que se preocupa este servicio de evaluación de buenas prácticas de seguridad. Para el análisis se generan los planes de recomendaciones de remediación correspondientes.

Se revisan los siguientes aspectos:

  • Revisión de controles de acceso.
  • Revisión de integridad de bases de datos y sus tablas.
  • Revisión de cuentas y perfiles de usuarios.
  • Revisión de sistema operativo.
image

Evaluación de Desarrollo de código seguro

Realizar un modelado de amenazas típico apoya a producir una lista priorizada de mejoras de seguridad en los requisitos, diseño e implementación de las aplicaciones.

Con nuestro servicio de creación de modelo de amenazas:

  • Los equipos de desarrollo tendrán requisitos de seguridad adaptados a las fases de diseño.
  • Contarán con una visión dinámica del riesgo adaptada a entornos ágiles.
  • Se podrá optimizar la seguridad de las aplicaciones mediante la identificación de objetivos y vulnerabilidades.
  • Se definirán, gracias a una plataforma automática, las contramedidas para prevenir o mitigar los efectos de las amenazas al sistema.
  • Se apoyará la toma de decisiones sobre los riesgos de seguridad en las aplicaciones.

Los resultados pueden ser integrados a las herramientas que utilizan los equipos de desarrollo para el control de sus tareas y tickets, con lo que podemos realizar un seguimiento de los riesgos, pudiendo actualizar el estado de los controles aplicados de una manera automática y en tiempo real.

Análisis de código estático y dinámico

Para diferenciar ambos tipos de análisis es conveniente dejar claro que el análisis de código es un proceso de revisión de este mediante el que se pretende evaluarlo. Dicha evaluación supone la búsqueda de problemas de funcionamiento del mismo código y pretende mejorar su funcionamiento.

Este análisis se puede realizar de dos maneras: se puede llevar a cabo un análisis dinámico de código o un análisis estático del mismo.

  • El análisis estático se hace sin ejecutar el código. Como no necesita de esa ejecución, el análisis estático permite detectar errores en una fase muy temprana de la escritura. Así se ahorra mucho tiempo en fases posteriores del desarrollo. Puede arrojar positivos que no lo son y cuya falsedad solo se verá durante la ejecución del código.
  • El análisis dinámico de código se realiza mientras este se está ejecutando. Es más lento y necesita un proceso completo de testeo. Sin embargo, permite ver muchos errores que quedan ocultos en un análisis estático.

Los dos tipos de análisis de código mencionados admiten procesos completos de pruebas. Existen diferentes tipos de ellas especialmente diseñadas para el análisis dinámico de código y para el estático. En este último caso, se recomienda un buen proceso de revisión de la documentación y de mantenimiento de la misma. Sobre todo, para beneficio de los desarrolladores que trabajan en proyectos de gran envergadura. En este tipo de trabajos los cambios están a la orden del día y, sin una documentación adecuada, es imposible mantener una visión general del proyecto.

image

Análisis de brechas de cumplimiento Normativo y regulatorio

Realizamos un análisis integral de los procesos y activos de información críticos de la organización, pudiendo establecer un estado de situación y el nivel de riesgo de ciberseguridad en que ésta se encuentra. Nuestros consultores desarrollan un plan de tratamiento orientado a la mitigación de estos riesgos, que asegure la eficacia y eficiencia de las operaciones y establezcan un marco seguro a los procesos de negocio estratégicos.

1. Análisis de Brechas ciberseguridad (NIST e ISO 27032)

Servicio también denominado NIST Cybersecurity Framework GAP Analysis, con el que establecemos un diagnóstico del grado de cumplimiento de los controles de ciberseguridad respecto a los requisitos definidos en el estándar NIST CSF (detectar, proteger, identifica, responder y recuperar) y, en forma opcional, sobre los controles definidos en el estándar ISO 27032.

Mediante una metodología y herramientas de software de desarrollo propio:

  • Evaluamos el nivel de madurez de los 98 controles de siberseguridad implementados en la organización.
  • Obtenemos el grado de cumplimiento.
  • Brindamos las herramientas necesarias a la Alta Dirección para poder priorizar las acciones de mejora.

2. Análisis de Brechas de Cumplimiento (Normativa ISO 27001, Estándar PCI-DSS y Normativa GDPR-LGPD)

Servicio, también denominado ISO 27001 GAP Analysis.
Permite establecer un diagnóstico del grado de cumplimiento de los controles de seguridad implementados en una organización respecto a los requisitos definidos en el estándar ISO 27001, identificando las brechas y por ende, buscando cómo remediarlas.

Mediante una metodología y herramientas de software de desarrollo propio:

  • Evaluamos el nivel de madurez de los controles implementados sobre los procesos y activos de información de la organización.
  • Obtenemos el grado de cumplimiento de cada dominio y de cada uno de los controles de seguridad definidos en el estándar ISO 27001.
  • Brindamos las herramientas necesarias para poder priorizar las acciones de mejora.

3. Análisis de Brechas de Cumplimiento de estándar PCI-DSS

Trabajamos conjuntamente con los responsables de TI, Operaciones y Seguridad de la Información de una organización para identificar el nivel actual de cumplimiento de los controles establecidos en estándar PCI-DSS.

Tras el diagnóstico independiente y detallado del nivel o grado de madurez:

  • Definimos e informamos las acciones de remediación y mejora.
  • Desarrollamos el documento ROC a presentar a los organismos de control en caso de auditorías de certificación PCI.

4. Análisis de Brechas de Cumplimiento de Normativa Privacidad de Datos (GDPR-LGPD)

El Reglamento General de Protección de Datos (RGPD) establece un marco más sólido y coherente para la protección de datos en la Unión Europea, que señala que las medidas dirigidas a garantizar su cumplimiento deben tener en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento de la información, así como el riesgo para los derechos y libertades de las personas.

Nuestra auditoría ejecuta el Privacy Impact Assessmemt y con ella:

  • Evaluamos el tratamiento de datos de carácter personal que gestiona la organización.
  • Identificamos quiénes son los responsables de su tratamiento y para qué finalidad se recogen los datos.
  • Recomendamos cómo solventar los errores o poner en práctica las medidas para su cumplimiento.
  • Evitamos posibles sanciones con nuestras recomendaciones.
image
image

Networks Security Assesment

El servicio de análisis topológico consiste en una revisión del estado de la red, en el cual se revisará su estructura lógica (modelo) y física en el cual se determinará su estado actual de acuerdo con niveles de seguridad, disponibilidad, autenticidad de los datos, confidencialidad. De acuerdo con esto se realizan recomendaciones tendientes a mejoras en la estructura topológica.