CONSULTORÍA ESPECIALIZADA

El Ethical Hacking consiste en explotar las vulnerabilidades existentes en el sistema de “interés” valiéndose de test de intrusión, que verifican y evalúan la seguridad física y lógica de los sistemas de información, redes de computadoras, aplicaciones web, bases de datos, servidores, etc. Con la intención de ganar acceso y “demostrar” que un sistema es vulnerable, esta información es de gran ayuda a las organizaciones al momento de tomar las medidas preventivas en contra de posibles ataques malintencionados.

Para garantizar la seguridad informática se requiere de un conjunto de sistemas, métodos y herramientas destinados a proteger la información, es aquí donde entran los servicios del Ethical Hacking , la cual es una disciplina de la seguridad informática que a través de una gran variedad de métodos para realizar sus pruebas, estos métodos incluyen tácticas de ingeniería social, uso de herramientas de hacking , uso de Metasploits que explotan vulnerabilidades conocidas, en fin son válidas todas las tácticas que conlleven a vulnerar la seguridad y entrar a las áreas críticas de las organizaciones.

Las pruebas de penetración son un paso previo a los análisis de fallas de seguridad o riesgos para una organización. La diferencia con un análisis de vulnerabilidades, es que las pruebas de penetración se enfocan en comprobar y clasificar vulnerabilidades y no tanto en el impacto que éstas tengan sobre la organización. Estas pruebas dejan al descubierto las vulnerabilidades que pudieran ser vistas y explotadas por individuos no autorizados y ajenos a la información como: crackers, hackers, ladrones, ex-empleados, empleados actuales disgustados, competidores, etc. Las pruebas de penetración, están totalmente relacionadas con el tipo de información que cada organización maneja, por tanto según la información que se desee proteger, se determina la estructura y las herramientas de seguridad pero nunca a la inversa.

Estas pruebas de penetración permiten:

Evaluar vulnerabilidades a través de la identificación de debilidades provocadas por una mala configuración de las aplicaciones.
Analizar y categorizar las debilidades explotables, con base al impacto potencial y la posibilidad de que la amenaza se convierta en realidad.
Proveer recomendaciones en base a las prioridades de la organización para mitigar y eliminar las vulnerabilidades y así reducir el riesgo de ocurrencia de un evento desfavorable.

Análisis de las deficiencias

El Gap Análisis es una herramienta de evaluación que le permite al Cliente comparar sus procesos actuales contra procesos del mercado o estándares de la industria relacionados con Seguridad Informática. Esto le permite al Cliente identificar aquellas áreas en las cuales existe un espacio para mejorar. El proceso incluye la determinación, documentación y aprobación de variaciones entre los requisitos del negocio y las capacidades actuales. Un Gap análisis fluye naturalmente entre estándares u otras evaluaciones. Una vez que se conocen las expectativas de la industria, entonces es posible compararlas con el nivel de seguridad en el cual el cliente está operando hoy día. Esta diferencia entre el estándar y la realidad del cliente es lo que conocemos como Gap Análisis o brecha.

El Gap Análisis es un estudio formal con respecto a los niveles de seguridad implementados actualmente por el cliente y aquellos hacia los cuales él desea llegar en un futuro cercano.

El Gap Análisis provee un indicativo del esfuerzo, tiempo, dinero y recursos humanos que van a ser requeridos para obtener ese objetivo deseado. (Ej. Certificación ISO 17799 por nombrar un caso.)

Beneficios del Gap análisis:

Identificación de riesgos en sus procesos
Descubrir las necesidades de su organización para alcanzar la certificación
Establecer calendario y coste
La realización de un análisis de deficiencias previo al proceso de certificación, validación o verificación, puede ser una buena inversión ya que ayuda a identificar los puntos débiles de su sistema de gestión, y ayudará a los auditores a estimar unos plazos realistas para la auditoría de certificación. Sí el análisis preliminar muestra cualquier deficiencia importante en el sistema, es vital que se permita un periodo de consolidación y madurez antes de llevar a cabo la evaluación para la certificación. La auditoría se centrará en la interpretación y grado de aplicación de los requisitos pertinentes más que en una descripción detallada de conformidad.

Este tipo de auditorías se basa en una técnica de muestreo. Mediante este método podemos ofrecerle una orientación sobre las fortalezas y las debilidades de su sistema.

La auditoría preliminar o gap análisis evalúa su sistema de gestión existente o sus procedimientos contra todos los requisitos de una norma o con los requisitos que hayan cambiado de un sistema ya revisado.

Esta auditoría no da lugar a la certificación, si bien es aplicable a normas de certificación: ISO 9001, ISO 14001 y OHSAS 18001, entre otras.

SGSI – Sistema de Gestión de la Seguridad de la Información.

La seguridad de la información, según ISO 27001, consiste en la preservación de su confidencialidad, integridad y disponibilidad, así como de los sistemas implicados en su tratamiento, dentro de una organización.

Para garantizar que la seguridad de la información es gestionada correctamente se debe identificar inicialmente su ciclo de vida y los aspectos relevantes adoptados para garantizar su C-I-D:

Confidencialidad: la información no se pone a disposición ni se revela a individuos, entidades o procesos no autorizados.

Integridad: mantenimiento de la exactitud y completitud de la información y sus métodos de proceso.

Disponibilidad: acceso y utilización de la información y los sistemas de tratamiento de la misma por parte de los individuos, entidades o procesos autorizados cuando lo requieran.

En base al conocimiento del ciclo de vida de cada información relevante se debe adoptar el uso de un proceso sistemático, documentado y conocido por toda la organización, desde un enfoque de riesgo empresarial. Este proceso es el que constituye un SGSI.

Beneficios:

Análisis de riesgos, identificando amenazas, vulnerabilidades e impactos en la actividad empresarial.
Mejora continua en la gestión de la seguridad.
Garantía de continuidad y disponibilidad del negocio.
Reducción de los costos vinculados a los incidentes.
Incremento de los niveles de confianza de clientes y partners.
Aumento del valor comercial y mejora de la imagen de la organización.
Cumplimiento con la legislación vigente de protección de datos de carácter personal, servicios de la sociedad e la información, comercio electrónico, propiedad intelectual y en general, aquella relacionada con la seguridad de la información.

El primer paso en la Gestión de riesgo, es el análisis de riesgo que tiene como propósito determinar los componentes de un sistema que requieren protección, sus vulnerabilidades que los debilitan y las amenazas que lo ponen en peligro, con el fin de valorar su grado de riesgo.

Una amenaza se puede definir entonces como un evento que puede afectar los activos de información y están relacionadas con el recurso humano, eventos naturales o fallas técnicas. Algunos ejemplos pueden ser ataques informáticos externos, errores u omisiones del personal de la empresa, infecciones con malware, terremotos, tormentas eléctricas o sobrecargas en el fluido eléctrico. Por otra parte, una vulnerabilidad es una característica de un activo de información y que representa un riesgo para la seguridad de la información. Cuando se materializa una amenaza y hay una vulnerabilidad que pueda ser aprovechada hay una exposición a que se presente algún tipo de pérdida para la empresa. Por ejemplo el hecho de tener contraseñas débiles en los sistemas y que la red de datos no esté correctamente protegida puede ser aprovechado para los ataques informáticos externos.

La clasificación de datos tiene el propósito de garantizar la protección de datos (personales) y significa definir, dependiendo del tipo o grupo de personas internas y externas, los diferentes niveles de autorización de acceso a los datos e informaciones. Considerando el contexto de nuestra misión institucional, tenemos que definir los niveles de clasificación como por ejemplo: confidencial, privado, sensitivo y público. Cada nivel define por lo menos el tipo de persona que tiene derecho de acceder a los datos, el grado y mecanismo de autenticación.

Una vez clasificada la información, tenemos que verificar los diferentes flujos existentes de información internos y externos, para saber quiénes tienen acceso a qué información y datos.

Clasificar los datos y analizar el flujo de la información a nivel interno y externo es importante, porque ambas cosas influyen directamente en el resultado del análisis de riesgo y las consecuentes medidas de protección. Porque solo si sabemos quienes tienen acceso a que datos y su respectiva clasificación, podemos determinar el riesgo de los datos, al sufrir un daño causado por un acceso no autorizado.

Es el examen o revisión de carácter objetivo, crítico, sistemático, y selectivo de las políticas, normas, prácticas, funciones, procesos, procedimientos e informes relacionados con los sistemas de información computarizados, con el fin de emitir una opinión profesional e imparcial con respecto a:

Eficiencia en el uso de los recursos informáticos
Validez de la información
Efectividad de los controles establecidos
Objetivos Generales de una Auditoría de Sistemas:

Buscar una mejor relación costo-beneficio de los sistemas automáticos o computarizados diseñados e implantados.
Incrementar la satisfacción de los usuarios de los sistemas computarizados.
Asegurar una mayor integridad, confidencialidad y confiabilidad de la información mediante la recomendación de seguridades y controles.
Conocer la situación actual del área informática y las actividades y esfuerzos necesarios para lograr los objetivos propuestos.
Seguridad de personal, datos, hardware, software e instalaciones.
Apoyo de función informática a las metas y objetivos de la organización.
Seguridad, utilidad, confianza, privacidad y disponibilidad en el ambiente informático.
Minimizar existencias de riesgos en el uso de Tecnología de información.
Decisiones de inversión y gastos innecesarios.
Capacitación y educación sobre controles en los Sistemas de Información.
La auditoría en informática deberá comprender no sólo la evaluación de los equipos de cómputo, de un sistema o procedimiento específico, sino que además habrá de evaluar los sistemas de información en general desde sus entradas, procedimientos, controles, archivos, seguridad y obtención de información.

La auditoría en informática es de vital importancia para el buen desempeño de los sistemas de información, ya que proporciona los controles necesarios para que los sistemas sean confiables y con un buen nivel de seguridad. Además debe evaluar todo (informática, organización de centros de información, hardware y software).

Objetivos de Control para la información y Tecnologías relacionadas.

COBIT sirve para planear, organizar, dirigir y controlar toda la función informática dentro de una empresa. Actúa sobre la dirigencia y ayuda a estandarizar la organización.

Los Objetivos de Control para la Información y la Tecnología relacionada (CobiT®) brindan buenas prácticas a través de un marco de trabajo de dominios y procesos, y presenta las actividades en una estructura manejable y lógica. Las buenas prácticas de CobiT están enfocadas fuertemente en el control y menos en la ejecución. Estas prácticas ayudarán a optimizar las inversiones facilitadas por la TI, asegurarán la entrega del servicio y brindarán un patrón de medición con el cual se podrá calificar cuando las cosas no vayan bien. Para que la TI tenga éxito en satisfacer los requerimientos del negocio, la dirección empresarial debe implantar un sistema de control interno o un marco de trabajo.

A través de la implantación de las prácticas establecidas en COBIT, logrará entender sus Sistemas de Información y decidir el nivel de seguridad y control que es necesario para proteger los activos de su organización mediante el desarrollo de un modelo de administración de las tecnologías de la información, estos modelos podrán avanzar en su implementación y mejora logrando los niveles de madurez adecuados de acuerdo con cada organización.

Consiste en un análisis posterior de los incidentes de seguridad, mediante el cual se trata de reconstruir como se ha penetrado o vulnerado en el sistema. Por tanto, cuando se está realizando un análisis forense se intenta responder a las siguientes preguntas: ¿Quién ha realizado el ataque? ¿Cómo se realizo? ¿Qué vulnerabilidades se han explotado? ¿Qué hizo el intruso una vez que accedió al sistema?

El servicio de análisis forense están dirigidos a aquellas organizaciones que han sufrido ataques, intrusiones y/o robo de información, así como a perjudicados que precisen un proceso de investigación donde existan datos digitales involucrados: e-mails, páginas web, etc.

La Arquitectura de Seguridad de Información en la Empresa (EISA) es la práctica de aplicar un método riguroso y comprensivo para describir una estructura actual y/o futura y el comportamiento de los procesos de seguridad de una organización, sistemas de seguridad de información y subunidades de personal y organizativas, para que se alineen con las metas comunes de la organización y la dirección estratégica. Aunque a menudo se asocie estrictamente con tecnologías para la seguridad de la información, se relaciona en términos más generales con la práctica de seguridad de optimización del negocio, donde dirige la arquitectura de seguridad del negocio, la realización de gestiones y también la arquitectura de procesos de seguridad.

El servicio consiste en diseñar el conjunto de controles de infraestructura de TI recomendados para brindar, un ambiente que minimice los riesgos asociados a la utilización de tecnologías de información y apoye las estrategias de negocio basados en los requerimientos normativos establecidos en la ISO 27001 e ISO27002 y la arquitectura de la empresa.

La arquitectura de Seguridad de Información en la Empresa es un componente clave del proceso de gobierno de tecnología de Seguridad de Información en cualquier organización de tamaño significativo. Cada vez más compañías están implementando procesos formales de arquitectura de seguridad en la empresa para respaldar el gobierno y la gestión de la TI. La Arquitectura de Seguridad de información de la Empresa está también relacionada con la gestión de la seguridad de la cartera de la TI y el sentido de la metadata en la empresa de TI.

(Business Continuity Plan y Disaster Recovery Plan ) – ISO 22301

Es una respuesta a los imprevistos que pueden ocurrir en cualquier momento y poner en jaque la continuidad de cualquier organización. Acontecimientos imprevistos pueden interrumpir sus actividades comerciales y poner en peligro la actuación de su empresa, el crecimiento e incluso su supervivencia. El volver a la normalidad es de vital importancia en estos casos. La implementación y certificación del sistema de gestión de continuidad de negocio garantiza que su empresa pueda funcionar, incluso cuando ocurran sucesos imprevistos grandes o pequeños. Un sistema eficiente ayuda a identificar los riesgos y determinar la forma de tratar con ellos antes de que se produzcan los incidentes.

Los Planes de recuperación del negocio deben revisarse y probarse con frecuencia para: Incluir y considerar todos los tipos de amenazas posibles, Analizar las interdependencias de nuestros procesos, Incluir los factores clave: Telecomunicaciones, infraestructuras etc. e Involucrar a toda la empresa teniendo en cuenta la importancia del apoyo de todos los empleados.

Normatividad Aplicable:

Norma ISO 22301 Seguridad de la sociedad – Sistemas de gestión de la continuidad del negocio.

BS 25999-2: Estándar británico certificable en la que se tiene como objeto la gestión o plan de continuidad del negocio fundamentalmente enfocado a la disponibilidad de la información, uno de los activos más importantes hoy en día para cualquier organización.