La transformación digital de las organizaciones plantea nuevos riesgos que deben ser gestionados. El evaluar la seguridad de las Apps, Sitios Webs, WebServices y diferentes canales digitales y sistemas desarrollados o adquiridos, ante ataques internos y externos, es una medida básica para mitigar esos riesgos.
Estado de situación
La seguridad informática tiene como propósito garantizar la confidencialidad, integridad y disponibilidad de la información.
Una brecha de seguridad en los sistemas, aplicaciones o infraestructura informática sobre la cual corren se traducirá seguramente en un daño para la organización que se podría materializar en:
- pérdida de imagen de la compañía
- pérdidas económicas,
- problemas legales, contractuales o regulatorios,
- pérdidas de disponibilidad y problemas operativos,
- fuga de información, alteración indebida de la información.
El entorno de seguridad en el que se mueve una organización no es estático:
-
descubrimiento de nuevos vectores de ataque;
-
cambios en la infraestructura (nuevos equipos, software de base, protocolos, dispositivos, etc.);
-
cambios en el entorno y exposición de las aplicaciones;
-
cambios evolutivos y correctivos en las aplicaciones.
Por todas estas razones, las organizaciones necesitan evaluar los riesgos asociados a sus sistemas, aplicaciones e infraestructura regularmente, con una frecuencia que dependerá de la naturaleza del proceso y del nivel de exposición.
Datasec ofrece varios servicios que permiten abordar la problemática anteriormente planteada.
Los servicios que se presentan a continuación son grandes lineamientos. Es necesario considerar que cada uno se puede abrir en diferentes variantes que se adaptan de acuerdo a las necesidades del cliente.
La realización de cada servicio termina con un informe en el cual se presentan los resultados, recomendaciones, conclusiones.
Soluciones
Escaneo de vulnerabilidades
Un Escaneo de Vulnerabilidades es la identificación, análisis y reporte de vulnerabilidades (entendida como una falla que permite que una amenaza se convierta en un riesgo).
El escaneo de puertos, servicios, aplicaciones puede ser:
-
Externo: se realiza remotamente, asumiendo la perspectiva de alguien ajeno a la organización.
-
Interno: se examina el perfil de seguridad desde la perspectiva de alguien interno o que tiene acceso a los sistemas y redes de la organización.
-
Mixto: combina las perspectivas externas e internas.
Existen herramientas automatizadas que permiten obtener un diagnóstico primario de la seguridad de una aplicación y la infraestructura sobre la cual corre.
Es ineludible poder contar con analistas que permitan tomar esos insumos y profundizar en la verificación de dichas vulnerabilidad.
Datasec cuenta con herramientas y experiencia en el escaneo de vulnerabilidades en aplicaciones que permiten tener un completo diagnóstico sobre la seguridad del sistema que se está ofreciendo y el nivel de cumplimiento con buenas prácticas internacionalmente reconocidas como ser: CWE/SANS Top 25, HIPAA, ISO/IEC 27001, NIST 800-53, OWASP TOP 10, PCI DSS, Sarbanes-Oxley.
Hackeo ético
Un hackeo ético es el servicio llevado a cabo por personal especializado que, usando las mismas herramientas y técnicas que un atacante real (un cracker), busca identificar fallos de seguridad con el fin de reportarlos y corregirlos (en vez de usar esos fallos para provocar daño o para beneficio personal).
Un hackeo ético busca dar una respuesta a las siguientes preguntas:
- ¿Qué puede saber un atacante?
- ¿Qué puede hacer un atacante con esa información?
- ¿Se podría detectar un intento de ataque?
- ¿Se podría detener el ataque?
Para ello, se utiliza habitualmente una metodología formada por las siguientes fases:
- Reconocimiento
- Scanning y enumeración
- Acceso
- Mantenimiento de acceso
- Borrado de huellas
Tipos de hackeo ético
-
Caja negra: no se cuenta con información sobre el objetivo de evaluación, simulando el ataque de un atacante externo que busca penetrar en los sistemas desde el exterior.
-
Caja blanca: al contrario que el de caja negra, aquí el hackeo ético se realiza con todo el conocimiento sobre la red, infraestructura y sistemas del objetivo. Se simula un ataque informado.
-
Caja gris: se tiene un conocimiento parcial del objetivo. Se simula un ataque de alguien que cuenta con información parcial y busca ganar acceso no autorizado
Aseguramiento de Desarrollo Seguro
En los últimos tiempos, la seguridad en el desarrollo de software ha evolucionado al punto que hoy existen diferentes marcos de buenas prácticas contra los cuales se pueden evaluar los procesos y modelos de desarrollo desde el punto de vista de la seguridad y a lo largo de todo el ciclo de vida de las aplicaciones.
Usando los marcos de referencia, los consultores de Datasec pueden hacer un gap análisis que permita a la organización tener un estado de situación sobre las prácticas que usa y no usa en cuanto a seguridad con el objetivo de identificar fortalezas para replicar en sus diferentes proyectos y oportunidades de mejora para incorporar.
Este servicio requiere la generación de algunas entrevistas con personal del equipo de desarrollo de la organización con el objetivo de recorrer los diferentes aspectos que se desean evaluar.
Capacitación de seguridad en el desarrollo de software
Ya está totalmente probado que para producir software seguro es necesario:
-
[Tecnología] Contar con una plataforma de desarrollo que favorezca la seguridad.
-
[Procesos] Tener procesos de desarrollo que incorporen de forma adecuada aspectos de seguridad.
-
[Personas] Capacitar al personal de desarrollo en aspectos de seguridad.
Es común encontrar organizaciones que al usar una tecnología incorporan elementos de seguridad y personal técnicamente muy competente. Sin embargo, los procesos de desarrollo no incluyen consideraciones de seguridad y en ocasiones el personal no tiene incorporada la “cultura de la seguridad” con lo cual los productos generados no son tan seguros como quisiéramos.
Este servicio está dirigido a capacitar al personal de desarrollo en seguridad mediante una recorrida de las consideraciones que se deben tener durante todo el ciclo de vida del software.
El curso introduce conceptos, herramientas y marcos de referencias que permitirán a los participantes el volcado inmediato del conocimiento adquirido a su trabajo diario.
