Servicios

En la actualidad, la información que maneja una organización es indispensable para poder controlar tanto sus proyectos, negocios y tácticas, como también el mercado de sus servicios y productos.

La información es el principal activo de las organizaciones y, por esta razón, su seguridad debe estar entre sus prioridades.

La seguridad de la información se fundamenta en tres principios básicos: Confidencialidad, Integridad y Disponibilidad.

Tomando como base estos tres principios, y combinando nuestra experiencia en seguridad de TI y el entendimiento del negocio, trabajamos junto a nuestros clientes para definir y ejecutar un plan con una visión estratégica y práctica que contemple marcos normativos, buenas prácticas y que alcance los objetivos sin degradar la eficiencia de los procesos de negocio.

PCI DATA SECURITY STANDARD (PCI DSS) es un estándar de seguridad creado para reducir el fraude relacionado con las tarjetas de crédito o débito. Define el conjunto de requerimientos necesarios para gestionar la seguridad, sus políticas y procedimientos, el diseño de software, la arquitectura de red, y todas las medidas de protección que intervienen en las actividades que involucran tarjetas de crédito. Las compañías que trabajan con este tipo de datos deben cumplir con este estándar y validarlo de forma periódica

Un PEN TEST posee la capacidad de simular el ataque de un hacker, pero de un modo controlado que posibilite la evaluación de la seguridad IT de redes y sistemas.

De este modo, permite medir la exposición a las amenazas del mundo real, determinando el delta existente entre la seguridad de la organización y las defensas necesarias para la seguridad IT actual.

PROTECCIÓN DE LA INFORMACIÓN

Además de contar con sistemas de seguridad como alarmas, antivirus, firewalls, etc., es importante que los usuarios, tanto los técnicos como el resto de la empresa, adquieran el poder y la información para discernir amenazas y prácticas riesgosas y tener la prudencia de evitarlas.

PCI DSS

Realizamos un análisis de las deficiencias existentes y los tests necesarios para poder informar al cliente de los controles que deban ser remediados para conseguir la conformidad PCI DSS.

 

La evaluación incluye una revisión del entorno de red de datos del titular de tarjeta  (incluyendo tests de penetración y de vulnerabilidades) y de la documentación de soporte técnico y de negocio.

El proceso de evaluación puede incluir entrevistas con el personal de la compañía para determinar qué requerimientos PCI están presentes y qué remediación se requiere.

La primer fase del proyecto involucra la revisión y validación del entorno actual de red de datos del titular de tarjeta, y de políticas y procedimientos que entran en el alcance de la certificación PCI.

La metodología de validación incluye:

  • Revisión del actual entorno tecnológico de datos del titular de tarjeta y sus medidas de seguridad.

  • Mapeo de los puntos de contacto con los canales de negocio.

  • Examen de los puntos de acceso y los componentes de red en busca de deficiencias de seguridad según la perspectiva de PCI.

  • Verificación de los actuales controles documentados según los requerimientos específicos de PCI DSS.

  • Scan y Pen Tests para validar que el cliente posea el nivel de seguridad apropiado.

Análisis de deficiencias

Plan de remediación y soporte

Realizamos un seguimiento de todos los esfuerzos de remediación y proporcionamos al cliente un reporte mensual. Durante este tiempo, el cliente, acompañado por el equipo de Intradós, implementa los controles requeridos por la normativa PCI.

Elaboramos un Plan de remediación en conjunto con el cliente según lo relevado en las etapas anteriores.

Durante el proceso de remediación, trabajamos en conjunto, estableciendo puntos de control en donde se repiten las evaluaciones de la fase de análisis de deficiencias para validar el avance y mantener informados a todos los interesados.

El trabajo incluye:

  • Reuniones con personal clave para integrar los requisitos técnicos sin descuidar las necesidades del negocio.

  • Trabajo de soporte a personal de infraestructura.

  • Trabajo de soporte a personal de desarrollo.

  • Interacción y reporte a terceras partes involucradas.

Certificación

Acompañamos a nuestros clientes durante los procesos de armado de informes para auditoría, auditoría externa, validación interna de devolución y controles compensatorios y en la realización del informe sobre el cumplimiento.

Para la auditoría externa por un QSA (Qualified Security Assessors) se deben coordinar y completar una serie de pasos y envíos de formularios y documentación. Para lograr que este proceso sea lo más efectivo posible ayudamos a generar todos los entregables requeridos (documentos, evidencias físicas y lógicas) antes de la auditoría.

Durante la auditoría, coordinamos la participación en las reuniones y visitas del QSA para apoyar el trabajo de remediación realizado.

Las devoluciones de la auditoría son analizadas en conjunto, estableciendo e implementando controles compensatorios en caso de ser necesario.

Una vez cerradas las observaciones se realiza la devolución final del informe para aprobación del QSA.

 

Penetration Test

Test de valoración de seguridad de infraestructura de red

Revisión de seguridad automatizada y sin privilegios, con una verificación manual de las vulnerabilidades detectadas, desde la perspectiva de un atacante con el nivel de habilidad de un scripting automático.

Se hace una valoración del nivel general de seguridad del objeto investigado. Los testers buscan sistemáticamente todas las vulnerabilidades mientras dura el tiempo del test (mediante pruebas mucho menos profundas que el TEST DE PENETRACIÓN) Todas las vulnerabilidades encontradas, y sus respectivas recomendaciones, son documentadas en un reporte final.

A diferencia del TEST DE PENETRACIÓN, la mayor parte del test se lleva a cabo de manera semiautomática. Las vulnerabilidades de seguridad encontradas son verificadas luego para minimizar los falsos positivos.

 

Los resultados son presentados en forma de un exhaustivo pero breve reporte, que incluye todos los informes generados y la data cruda, además de los archivos dump (que registran el tráfico de la red) y el registro de acciones (el informe de todas las acciones realizadas por el tester).

Ofrecemos este test para sistemas sencillos, tanto para redes inalámbricas como por cable.

Test de penetración de infraestructura de red

Test de seguridad intensivo, técnico, sin privilegios, con un alto porcentaje manual y con una verificación desde la perspectiva de un atacante con el nivel de habilidad de un hacker/cracker

 

El TEST DE PENETRACIÓN es una simulación realista del ataque de un hacker. Durante el tiempo disponible para la prueba, todas las vulnerabilidades de seguridad son buscadas sistemáticamente. El TEST DE PENETRACIÓN implica un grado mucho más alto de trabajo manual que la VALORACIÓN DE SEGURIDAD, con los testers puestos ellos mismos en posición de hackers.

Nuestros consultores de seguridad emplean los últimos métodos y trucos utilizados por los hackers y crackers reales. El informe no sólo incluye recomendaciones de carácter técnico, sino también organizacional.

Los resultados son presentados en un exhaustivo informe final adaptado al grupo objetivo, conforme al OSSTMM, que incluye todos los informes generados y el registro de acciones (el informe de todas las acciones realizadas por el tester).

Ofrecemos este test a:

Aplicaciones y Sistemas: Hardware y software: clientes, servers, componentes de red, teléfonos móviles (smartphones como Iphone, blackberry, etc), appliances, telefonía VoIP, etc..

Redes por cable: Internet, DMZ, LAN/WAN

Redes inalámbricas:WLAN, Bluetooth,GSM/UMTS o infrared.

 

Capacitaciones

Para usuarios

Charlas interactivas sobre concientización dirigidas a usuarios no IT. Buscamos que el usuario participe y experimente la temática abordada.

 

Objetivos específicos:

  • Conocer los principales conceptos sobre Seguridad de la Información.

  • Conocer las políticas de seguridad con las que cuenta la empresa y el porqué de cada una.

  • Conocer los tipos de riesgos, ataques y atacantes y cómo evitarlos

  • Sensibilizar y concienciar a los trabajadores en la necesidad de seguir buenas prácticas de seguridad.

Temas principales:

  • Navegación en Internet y mensajería instantánea

  • Redes Sociales.

  • Uso de Contraseñas

  • Virus y archivos adjuntos sospechosos.

  • Ingeniería Social.

  • Uso de Correo Personal e Institucional

  • Seguridad en la PC, notebook y smartphones

  • Política de escritorios limpios. 

  • Confidencialidad y robo de datos.

  • ¿Qué hago si sospecho que hackearon mi PC o que me ingresó un virus?

  • Internet y los niños. Cómo protegerlos.

Para técnicos

Charlas que acercan, de manera didáctica, los problemas de seguridad más graves que afectan a las organizaciones, con un enfoque específico para quienes tienen la responsabilidad de atender las necesidades de otros usuarios y velar por que cumplan los requisitos de seguridad establecidos.

Objetivos específicos:

  • Concientizar a usuarios técnicos sobre problemas de seguridad.

  • Conocer las políticas de seguridad con las que cuenta la empresa y el porqué de cada una.

  • Conocer los tipos de riesgos, ataques y atacantes y cómo evitarlos.

  • Brindar las mejores prácticas de la industria para mitigar problemas de seguridad.

Previo al inicio de la charlas, se realizará una reunión con el cliente para conocer los  procedimientos internos que apliquen y deban divulgarse para que los usuarios de las áreas de tecnología puedan operar de forma proactiva ante la aparición de nuevos riesgos y/o incidentes de seguridad.

Temas principales:

  • Conocer los riesgos 

  • Botnets

  • Seguridad en la navegación

  • Phishing

  • Seguridad en correo electrónico

  • Ransomware

  • Spam

  • Gestión de contraseñas

  • Seguridad física

  • Seguridad en dispositivos móviles