Hacking Ético

La seguridad informática tiene como propósito garantizar la confidencialidad, integridad y disponibilidad de la información. Una brecha de seguridad en los sistemas, aplicaciones o infraestructura informática sobre la cual corren se traducirá seguramente en un daño para la organización.

Estado de situación

La seguridad informática tiene como propósito garantizar la confidencialidad, integridad y disponibilidad de la información.

Una brecha de seguridad en los sistemas, aplicaciones o infraestructura informática sobre la cual corren se traducirá seguramente en un daño para la organización que se podría materializar en:

  • pérdida de imagen de la compañía,

  • pérdidas económicas,

  • problemas legales, contractuales o regulatorios,

  • pérdidas de disponibilidad y problemas operativos,

  • fuga de información, alteración indebida de la información.

El entorno de seguridad en el que se mueve una organización no es estático:

  1. descubrimiento de nuevos vectores de ataque;

  2. cambios en la infraestructura (nuevos equipos, software de base, protocolos, dispositivos, etc.);

  3. cambios en el entorno y exposición de las aplicaciones;

  4. cambios evolutivos y correctivos en las aplicaciones.

Por todas estas razones, las organizaciones necesitan evaluar los riesgos asociados a sus sistemas, aplicaciones e infraestructura regularmente, con una frecuencia que dependerá de la naturaleza del proceso y del nivel de exposición.

Datasec ofrece varios servicios que permiten abordar la problemática anteriormente planteada.

Los servicios que se presentan a continuación son grandes lineamientos. Es necesario considerar que cada uno se puede abrir en diferentes variantes que se adaptan de acuerdo a las necesidades del cliente.

La realización de cada servicio termina con un informe en el cual se presentan los resultados, recomendaciones, conclusiones.

Soluciones

Escaneo de vulnerabilidades

Un Escaneo de Vulnerabilidades es la identificación, análisis y reporte de vulnerabilidades (entendida como una falla que permite que una amenaza se convierta en un riesgo).

El escaneo de puertos, servicios, aplicaciones puede ser:

  • Externo: se realiza remotamente, asumiendo la perspectiva de alguien ajeno a la organización.

  • Interno: se examina el perfil de seguridad desde la perspectiva de alguien interno o que tiene acceso a los sistemas y redes de la organización.

  • Mixto: combina las perspectivas externas e internas.

Existen herramientas automatizadas que permiten obtener un diagnóstico primario de la seguridad de una aplicación y la infraestructura sobre la cual corre.

Es ineludible poder contar con analistas que permitan tomar esos insumos y profundizar en la verificación de dichas vulnerabilidad.

Datasec cuenta con herramientas y experiencia en el escaneo de vulnerabilidades en aplicaciones que permiten tener un completo diagnóstico sobre la seguridad del sistema que se está ofreciendo y el nivel de cumplimiento con buenas prácticas internacionalmente reconocidas como ser: CWE/SANS Top 25, HIPAA, ISO/IEC 27001, NIST 800-53, OWASP TOP 10, PCI DSS, Sarbanes-Oxley.

Hackeo ético

Un hackeo ético es el servicio llevado a cabo por personal especializado que, usando las mismas herramientas y técnicas que un atacante real (un cracker), busca identificar fallos de seguridad con el fin de reportarlos y corregirlos (en vez de usar esos fallos para provocar daño o para beneficio personal).

Un hackeo ético busca dar una respuesta a las siguientes preguntas:

  • ¿Qué puede saber un atacante?

  • ¿Qué puede hacer un atacante con esa información?

  • ¿Se podría detectar un intento de ataque?

  • ¿Se podría detener el ataque?

Para ello, se utiliza habitualmente una metodología formada por las siguientes fases:

  1. Reconocimiento

  2. Scanning y enumeración

  3. Acceso

  4. Mantenimiento de acceso

  5. Borrado de huellas

Tipos de hackeo ético

  • Caja negra: no se cuenta con información sobre el objetivo de evaluación, simulando el ataque de un atacante externo que busca penetrar en los sistemas desde el exterior.

  • Caja blanca: al contrario que el de caja negra, aquí el hackeo ético se realiza con todo el conocimiento sobre la red, infraestructura y sistemas del objetivo. Se simula un ataque informado.

  • Caja gris: se tiene un conocimiento parcial del objetivo. Se simula un ataque de alguien que cuenta con información parcial y busca ganar acceso no autorizado.

Aseguramiento de Desarrollo Seguro

En los últimos tiempos, la seguridad en el desarrollo de software ha evolucionado al punto que hoy existen diferentes marcos de buenas prácticas contra los cuales se pueden evaluar los procesos y modelos de desarrollo desde el punto de vista de la seguridad y a lo largo de todo el ciclo de vida de las aplicaciones.

Usando los marcos de referencia, los consultores de Datasec pueden hacer un gap análisis que permita a la organización tener un estado de situación sobre las prácticas que usa y no usa en cuanto a seguridad con el objetivo de identificar fortalezas para replicar en sus diferentes proyectos y oportunidades de mejora para incorporar.

Este servicio requiere la generación de algunas entrevistas con personal del equipo de desarrollo de la organización con el objetivo de recorrer los diferentes aspectos que se desean evaluar.

Capacitación de seguridad en el desarrollo de software

Ya está totalmente probado que para producir software seguro es necesario:

  • [Tecnología] Contar con una plataforma de desarrollo que favorezca la seguridad.

  • [Procesos] Tener procesos de desarrollo que incorporen de forma adecuada aspectos de seguridad.

  • [Personas] Capacitar al personal de desarrollo en aspectos de seguridad.

Es común encontrar organizaciones que al usar una tecnología incorporan elementos de seguridad y personal técnicamente muy competente. Sin embargo, los procesos de desarrollo no incluyen consideraciones de seguridad y en ocasiones el personal no tiene incorporada la “cultura de la seguridad” con lo cual los productos generados no son tan seguros como quisiéramos.

Este servicio está dirigido a capacitar al personal de desarrollo en seguridad mediante una recorrida de las consideraciones que se deben tener durante todo el ciclo de vida del software.

El curso introduce conceptos, herramientas y marcos de referencias que permitirán a los participantes el volcado inmediato del conocimiento adquirido a su trabajo diario.

Datasec Blog

Propósitos de año nuevo: cambiar la política de contraseñas.
08 Dic
15 Nov

10 Oct

Datasec, estuvo presente como sponsor del reciente CLAI 2017.

 XXII CONGRESO LATINOAMERICANO DE AUDITORES INTERNOS
22 Sep

Se va a estar realizando el XXII CONGRESO LATINOAMERICANO DE AUDITORES INTERNOS, en la ciudad de Buenos Aires, Argentina; los días

 Los días 30 y 31 de agosto pasado, se realizó la 8va Edición del evento CIGRAS, organizado por el Capítulo de ISACA Uruguay, en el Hotel NH Columbia. Datasec, una vez más, se hizo presente participando como sponsor y expositor del evento.
12 Sep

 Los días 30 y 31 de agosto pasado, se realizó la 8va Edición del evento CIGRAS, organizado por el Capítulo de ISACA Uruguay, en e

16 Jun

El pasado jueves 8 de junio, El Semanario Búsqueda, recibió a nuestro director, el Ing.

Entrevista en Empresarios de Acá | Reynaldo de la Fuente Director de DATASEC
08 Jun

"Empresarios de Acá", el prestigioso programa de Nuevo Siglo TV conducido por Tatian

15 Mayo

Tal vez algunas organizaciones se han visto afectadas directa o indirectamente por este caso, pero lo cierto es que la gran mayoría serán simples o

Somos una firma presente en el mercado internacional desde 1987, pionera en el área del buen gobierno, aseguramiento, gestión de riesgos, calidad y seguridad en sistemas de la información (TI).

Más sobre Datasec >

ISO27001

Social