Este servicio de evaluación de buenas prácticas de seguridad tiene por objetivo realizar un análisis técnico de las configuraciones y reglas de seguridad de los equipos cortafuegos, con el fin de identificar si estos cumplen con las políticas de seguridad, así como también detectar oportunidades de mejora de alguno de sus compontes o elementos de configuración, para los cuales se generan los planes de recomendaciones de remediación correspondientes.

Se revisa a lo menos:

  • Revisión de documentación asociada al equipamiento.
  • Análisis de registros Log.
  • Análisis de IPS.
  • Análisis de VPN.
  • Análisis de resultados y desarrollo de informe.
  • Recertificación de remediación.

Este servicio de evaluación de buenas prácticas de seguridad tiene por objetivo realizar un análisis técnico de características físicas y operacionales del Datacenter, contrastados con normativas técnicas dispuestas para este tipo de infraestructura (TIER), con el fin de identificar oportunidades de mejora de alguno de sus compontes a niveles de configuración o en su disposición física, para los cuales se generan los planes de recomendaciones de remediación correspondientes.

Realizar un análisis técnico de los controles de acceso de la información y la integridad de las bases de datos, con el fin de identificar oportunidades de mejora de alguno de sus compontes a niveles de configuración o mantenimiento, es de lo que se preocupa este servicio de evaluación de buenas prácticas de seguridad. Para el análisis se generan los planes de recomendaciones de remediación correspondientes, para lo cual se revisan los siguientes aspectos:

  • Revisión de controles de acceso.
  • Revisión de integridad de bases de datos y sus tablas.
  • Revisión de cuentas y perfiles de usuarios.
  • Revisión de sistema operativo.

.

Realizar un modelado de amenazas típico apoya a producir una lista priorizada de mejoras de seguridad en los requisitos, diseño e implementación de las aplicaciones. Con nuestro servicio de creación de modelo de amenazas:

  • Los equipos de desarrollo tendrán requisitos de seguridad adaptados a las fases de diseño
  • Contarán con una visión dinámica del riesgo adaptada a entornos ágiles
  • Se podrá optimizar la seguridad de las aplicaciones mediante la identificación de objetivos y vulnerabilidades
  • Se definirán, gracias a una plataforma automática, las contramedidas para prevenir o mitigar los efectos de las amenazas al sistema
  • Se apoyará la toma de decisiones sobre los riesgos de seguridad en las aplicaciones

Los resultados pueden ser integrados a las herramientas que utilizan los equipos de desarrollo para el control de sus tareas y tickets, con lo que podemos realizar un seguimiento de los riesgos, pudiendo actualizar el estado de los controles aplicados de una manera automática y en tiempo real.

Análisis de código estático y dinámico

Para diferenciar ambos tipos de análisis es conveniente dejar claro que el análisis de código es un proceso de revisión de este mediante el que se pretende evaluarlo. Dicha evaluación supone la búsqueda de problemas de funcionamiento del mismo código y pretende mejorar su funcionamiento.

Este análisis se puede realizar de dos maneras: se puede llevar a cabo un análisis dinámico de código o un análisis estático del mismo.

  • El análisis estático se hace sin ejecutar el código. Como no necesita de esa ejecución, el análisis estático permite detectar errores en una fase muy temprana de la escritura. Así se ahorra mucho tiempo en fases posteriores del desarrollo. Puede arrojar positivos que no lo son y cuya falsedad solo se verá durante la ejecución del código.
  • El análisis dinámico de código se realiza mientras este se está ejecutando. Es más lento y necesita un proceso completo de testeo. Sin embargo, permite ver muchos errores que quedan ocultos en un análisis estático.

Los dos tipos de análisis de código mencionados admiten procesos completos de pruebas. Existen diferentes tipos de ellas especialmente diseñadas para el análisis dinámico de código y para el estático. En este último caso, se recomienda un buen proceso de revisión de la documentación y de mantenimiento de la misma. Sobre todo, para beneficio de los desarrolladores que trabajan en proyectos de gran envergadura. En este tipo de trabajos los cambios están a la orden del día y, sin una documentación adecuada, es imposible mantener una visión general del proyecto.

Realizamos un análisis integral de los procesos y activos de información críticos de la organización, pudiendo establecer un estado de situación y el nivel de riesgo de ciberseguridad en que ésta se encuentra. Nuestros consultores desarrollan un plan de tratamiento orientado a la mitigación de estos riesgos, que asegure la eficacia y eficiencia de las operaciones y establezcan un marco seguro a los procesos de negocio estratégicos.

El servicio de análisis topológico consiste en una revisión del estado de la red, en el cual se revisará su estructura lógica (modelo) y física en el cual se determinará su estado actual de acuerdo con niveles de seguridad, disponibilidad, autenticidad de los datos, confidencialidad. De acuerdo con esto se realizan recomendaciones tendientes a mejoras en la estructura topológica.

CONOCE NUESTRA METODOLOGÍA