No tienes que ser una super estrella, o un político reconocido para estar en riesgo. Tu información es muy importante para tí, pero más valiosa para los delincuentes informáticos que se aprovechan de las vulnerabilidades de las personas para realizar actividades ilícitas como robo de información, suplantación, secuestro de redes sociales, robo de contraseñas, extorsión, robo de secretos comerciales, fotos intimas y hasta mensajes de whatsapp.

PROTECCIÓN VIP

 

Muchos de nuestros clientes solicitan el servicio de protección VIP para reducir estos riesgos. Con una metodología basada en la prevención se realiza una verificación total de sus sistemas de comunicación personal, como dispositivos móviles, laptop, equipos de mesa, redes wifi hogareñas mejorando notablemente los procedimientos de conexión, almacenamiento y comunicación. Como todos nuestros servicios se acompaña la revisión de una capacitación que permite a nuestros clientes mejorar sus buenas prácticas en el momento de usar los servicios tecnológicos que dispone.

Precios cómodos.

Si bien, una auditoría en seguridad infomática puede ser muy costosa para una organización y mucho más para una persona natural; una revisión o verificación VIP está al alcance de todos, y la inversión para proteger tu información no será ningún problema ya que contamos con precios ajustados a las necesidades de cada persona o empresa.

     

¿Qué es la seguridad de la información?

Hoy en día la información se ha convertido en uno de los activos más importantes de cualquier organización, y no solo se debe proteger con herramientas como antivirus, firewalls y sistemas de prevención técnica, sino que es un conjunto de técnicas y medidas activas y pasivas que se deben considerar.

Tal y como indicamos, la seguridad de la información engloba un conjunto de técnicas y medidas para controlar todos los datos que se manejan dentro de una institución y asegurar que no salgan de ese sistemaestablecido por la empresa. Principalmente este tipo de sistemas se basan en las nuevas tecnologías, por tanto la seguridad de la información resguardará los datos que están disponibles en dicho sistema y a los que solo tendrán acceso usuarios autorizados. Por otro lado, tampoco se podrán hacer modificaciones en la información a no ser que sea de la mano de los usuarios que tengan los permisos correspondientes.

La seguridad de la información debe responder a tres cualidades principales:

  • Crítica
  • Valiosa
  • Sensible

Por un lado debe ser crítica, ya que es una pieza fundamental para que la empresa pueda llevar a cabo sus operaciones sin asumir demasiados riesgos. También debe ser valiosa, puesto que los datos que se manejan son esenciales para el devenir del negocio y finalmente tiene que ser sensible, ya que al sistema solo podrán acceder las personas que estén debidamente autorizadas. Además, también hay que tener en cuenta que la seguridad de la información debe hacer frente a los riesgos, analizarlos, prevenirlos y encontrar soluciones rápidas para eliminarlos si se diera el caso.

 

CIBERVIGILANCIA

El servicio de protección protege la reputación en línea de sus personas y empresas a través del monitoreo de medios sociales en tiempo real. Captura datos que podrían afectar la reputación de sus marcas  y el  desempeño  comercial  de  sus productos,  servicios o canales de ventas.

El Servicio de protección de marca protege su nombre y la reputación en línea a través del monitoreo de medios sociales en tiempo real. Captura de datos que podrían afectar a la reputación de sus marcas y los resultados empresariales de tus productos, servicios o canales de venta.

1. CARACTERISTICAS

  • Reaccionar con rapidez ante la crisis social. Protección en tiempo real de las crisis que pueden ocurrir en horas con un impacto de alto costo.
  • Mantenerse al tanto de los tweets. Conocer en tiempo real acerca de los tweets dañinas y erróneas.
  • Marca Inteligente. Obtenga información crítica a través de informes y alertas configurables.
  • Determine cómo se sienten acerca de su marca. Medir el sentimiento público en correlación con el sentimiento negativo.

2. BENEFICIOS

  • Reaccionar con rapidez ante la crisis social en relación con el impacto de su empresa y la industria.
  • Descubre los sitios donde se discuten los productos, servicios o marcas.
  • Descubrir información sobre cómo los clientes interactúan con los productos o servicios.
  • Supervisar blogosfera  respecto,  artículos  de  prensa  y  campañas  de marketing.
  • Monitorear la aceptación o la adopción de iniciativas y campañas en línea y fuera de línea.

El servicio de protección de marca se realiza de manera mensual y trimestral, el objetivo es iniciar la búsqueda de palabras claves, nombres, apellidos, servicios y demás escogidas en la mesas de trabajo de inicio, con el fin de realizar búsqueda profunda y control permanente del comportamiento en la red, el servicio incluye realización de análisis, entrega de informe parcial cada 15 días, informe final y capacitación para el correcto uso de redes sociales.

Los entregables estarán compuestos por: Barrido general de la web y DEEP WEB:

Búsqueda por palabras claves, o frases de interés.

  • Comparación de palabras, personas o nombres en la web.

Clasificación de información:

  • Por comentarios positivos o negativos.
  • Por fuente.
  • Por impacto.
  • Por contenido.

Correlación de información.

  • Por autor.
  • Por tiempo.
  • Por comentarios.
  • Por competencia.

Generación de estadísticas e informes.

Como resultado de la implementación del servicio de cybervigilancia, usted o la organización tendrá datos estadísticos, de los comentarios tanto positivos como negativos que ha tenido su nombre o marca en la web (redes sociales, páginas webs, blogs, post, etc), también graficas de tendencias a través del tiempo, informes detallados de los sitios, las personas y el contenido de los posts que hablan de usted o su marca.

Nuestros servicios de Hacking Ético permiten determinar el nivel de seguridad de su organización desde la perspectiva de un atacante experto.

Dependiendo de sus necesidades, se pueden realizar auditorías de seguridad o tests de intrusión. Una auditoría de seguridad se centra en la identificación y evaluación de impacto teórico de vulnerabilidades sobre un sistema, mientras que un test de intrusión suele incluir una verificación más activa y práctica de las vulnerabilidades detectadas, verificandosu explotación y midiendo el impacto real.

Auditoría de Caja Negra: Se denomina “caja negra” a la auditoría de seguridad, o test de intrusión, en la que el auditor no posee conocimientos de la infraestructura tecnológica subyacente.

Esta revisión de seguridad es ideal para simular ataques realizados por parte de personal externo a la organización y conocer el nivel de exposición a un ataque. En este tipo de revisión de seguridad el equipo de auditores tampoco disponen a priori de usuarios con los que interactuar con las aplicaciones a analizar.

El equipo de analistas deberá recopilar en este tipo de trabajo información sobre la plataforma, para plantear los escenarios de ataque más plausibles.

Auditoría de Caja Blanca: Es una auditoría de seguridad más exahustiva. En ella, se facilita información técnica sobre los activos a auditar incluyendo, según los activos analizados, información tal como usuarios, contraseñas y mecanismos de seguridad existentes.

Con este enfoque el auditor no necesita dedicar un esfuerzo extra a la búsqueda de información y permite focalizar los esfuerzos en aquellos elementos que son críticos para su negocio.

Esta revisión es complementaria con una revisión de seguridad en caja negra, y puede ser llevada a cabo a continuación de la anterior. El objetivo de esta revisión es blindar una plataforma frente a ataques más sofisticados,  frente a un atacante que dispone de mayores recursos o dotar a la plataforma de una mayor protección debido a la criticidad de la información que gestiona..

AUDITORIA EN SEGURIDAD WEB

OWASP (Open Web Application Security Project) es una metodología de seguridad de auditoría web, abierta y colaborativa, orientada al análisis de seguridad de aplicaciones Web, y usada como referente en auditorías de seguridad. Nuestro equipo se apoya en la metodología de auditoría OWASP en todos los proyectos de auditoría de seguridad web para analizar y evaluar los riesgos.

La revisión de los controles, definidos por esta metodología, permite al equipo de auditores garantizar que una revisión de la plataforma se realiza de forma adecuada, garantizando que todos los vectores de ataque han sido analizados y que los fallos de seguridad han sido detectados. Este proceso ayuda a mejorar la seguridad y la protección de los sistemas informáticos de nuestros clientes.

vulnerabilidades auditoría de seguridad web

Existen dos modalidades principales de revisión de seguridad basada en OWASP 2017.

  • Auditoría OWASP TOP 10: El enfoque de un trabajo de auditoría web estas características es revisar una aplicación en busca de las debilidades más habituales y que tienen un impacto mayor en la seguridad de un sistema..
  • A1: Inyección
  • A2: Pérdida de autenticación y gestión de sesiones
  • A3: Exposición de datos sensibles
  • A4: Entidad externa de XML (XXE)
  • A5: Control de acceso inseguro
  • A6: Configuración de seguridad incorrecta
  • A7: Cross site scripting (XSS)
  • A8: Deserialización insegura
  • A9: Uso de componentes con vulnerabilidades Conocidas
  • A10: Monitorización y registro insuficiente

Una auditoría web en la que se evalúan los controles del TOP 10 de OWASP es la recomendable cuando se estudia la seguridad de una aplicación web por primera vez o cuando la seguridad de este entorno no es crítica para la empresa. Ofrece una buen equilibrio en cuanto a esfuerzo, costes y resultados.

  • Auditoría OWASP completa: El objetivo en una revisión de seguridad web completa, que se apoya en la metodología OWASP, es validar los 90 controles definidos por la metodología, haciendo especial hincapié en errores relacionados con lógica de negocio. Es el enfoque ideal cuando la criticidad de una plataforma es elevada, y ayuda a blindar un sistema frente a ataques informáticos.

IMPLEMENTACIÓN ISO27001

 

La Información es un activo fundamental para el desarrollo, operativa, control y gestión del Modelo de Negocio / Servicio de cualquier Organización.

A través de sus Sistemas de Información se canalizan la práctica totalidad de las actividades corporativas, desde sus aspectos operativos hasta las decisiones gerenciales, siendo estos sistemas elementos clave en el gobierno corporativo de dichas Organizaciones, sea cual sea su tamaño y sector.

La Seguridad de la Información, extendida a todas las infraestructuras físicas, lógicas y organizativas donde se gestiona, se ha convertido en una prioridad al máximo nivel. En los entornos globalizados actuales, donde las transacciones de negocio (Empresas) y servicio (Administraciones Públicas) llevan en su praxis el sufijo “electrónico”, esta prioridad se maximiza ante las especiales características del medio en que se desarrollan y sus riesgos asociados.

Estas cuestiones derivan en la existencia de una serie de Normas estándares, aceptadas como acreditaciones de la Seguridad de la Información universalmente, y cuya implementación aporta a la Organización no solo una certificación reconocida sino, como punto fundamental, una cultura y práctica de la Seguridad que le aporta valores al negocio / servicio en muy diferentes aspectos.

  • Mejora de la competitividad
  • Mejora de la imagen corporativa
  • Protección y continuidad del negocio
  • Cumplimiento legal y reglamentario
  • Optimización de recursos e inversión en tecnología
  • Reducción de costes

La norma ISO/IEC 27001 especifica los requisitos para establecer, implantar, documentar y evaluar un Sistema de Gestión de la Seguridad de la Información (SGSI).

Entre las actividades propias a desarrollar al abordar una implantación a ISO27001 se encuentran:

  • Definición del alcance del SGSI
  • Definición de una Política de Seguridad
  • Definición de una metodología y criterios para el Análisis y Gestión del Riesgo
  • Identificación de riesgos
  • Evaluación de los posibles tratamientos del riesgo
  • Elaboración de un Declaración de Aplicabilidad de controles y requisitos
  • Desarrollo de un Plan de Tratamiento de Riesgos
  • Definición de métricas e indicadores de la eficiencia de los controles
  • Desarrollo de programas de formación y concienciación en seguridad de la información
  • Gestión de recursos y operaciones
  • Gestión de incidencias
  • Elaboración de procedimientos y documentación asociada

Como otras Normas de gestión (ISO 9000, ISO 14001, etc.), los requisitos de esta Norma aplican a todo tipo de Organizaciones, independientemente de su tipo, tamaño o área de actividad. Asimismo,  está basada en un enfoque por procesos y en la mejora continua, por lo tanto es perfectamente compatible e integrable con el resto de sistemas de gestión que ya existan en la Organización.

Master Security Consulting te asesora y compaña desde la definición del alcance, hasta el momento de la implementación final.