Nosotros TRUST-ME TRUST-ME TRUSTWAVE Propuesta de valor

Transcripción

1

2 Nosotros TRUST-ME es una compañía colombiana, fundada en 2014 con el propósito de proveer servicios de consultoría en el área de la informática, las redes de datos y telecomunicaciones. Somos especialistas en servicios relacionados con la seguridad de la Información, tomando como base estándares de la industria y mejores prácticas internacionales como lo son ISO 27001, PCI-DSS, PA-DSS, entre otras. En noviembre de 2015, TRUST-ME, fue acreditada como partner oficial de la QSA más grande del mundo TRUSTWAVE, que la avala para ofrecer en toda Latinoamérica los productos y servicios de cumplimiento en la norma PCI-DSS/PA- DSS, y certificar a través de ellos a comercios, entidades financieras y proveedores de servicio. Propuesta de valor Prestamos servicios profesionales y a la medida de cada organización; basados en la innovación, infraestructura especializada y nuestra experiencia demostrable, logrando dar una solución adecuada y sostenible a todos nuestros clientes.

3 CENTRO DE OPERACIÓN GLOBAL Minneapolis Varsovia Denver Manila Singapur Chicago 3 en Oriente Canada Centro Servicio Administrado Centro de Asistencia Técnica Investigadores Forenses Administradores del Programa Arquitectos y Consultores 12 SOC 2016: NUEVO SOC Australia, Singapur, Filipinas, India, Japón, Canadá, Reino Unido y Alemania

4 Aliados estratégicos Pensando siempre en brindarles a nuestros clientes más y mejores servicios, TRUST-ME ha establecido varias alianzas estratégicas para incrementar su propuesta de valor.

5 NUESTRO PORTAFOLIO SERVICIOS GESTIONADOS PRODUCTOS Proceso Integrado de Cumplimiento y Seguridad (P.I.C.S) Se ofrecen servicios de entrenamiento, orientados a: Desarrollo Seguro, Respuesta de incidentes, Temas forenses, entre otros.

6 Servicios Servicios de seguridad Gestionados Gestión de amenazas Gestión Anti-Malware Gestión de seguridad de Correos Gestión de Encripción Gestión de seguridad de Endpoint Gestión de control de acceso a la red Gestión SIEM Gestión de análisis de amenazas Gestión de doble factor de autenticación Gestión UTM Gestión IDS/IPS Gestión de Firewall Preparación y respuesta de incidentes Gestión de certificados SSL Gestión de Vulnerabilidades Gestión de pruebas de seguridad Gestión WAF (Web Application Firewall) Escaneo de Bases de Datos y Big Data Escaneo de Aplicaciones Análisis de vulnerabilidades de red Gestión de cumplimiento Evaluación de riesgos Cumplimiento PCI/ PA/ ISO 27001/ BCP/ DRP Capacitación en temas de seguridad Productos de seguridad Seguridad de Red Suite Antivirus Detección y prevención de intrusiones Gestión unificada de amenazas Control de Acceso a la red Autenticación de doble factor Gestión de certificados SSL Gestión de vulnerabilidades Seguridad de Datos y Contenidos Web Gateway Seguro Filtrado Web Gateway de correo seguro Prevención de perdida de Datos Plug-in de navegación segura Seguridad de Endpoint Suite de protección para Endpoint Gestión de seguridad SIEM Appliances de gestión de logs SIEM para empresas Servicios de SOC Análisis de amenazas Hacking Ético Ingeniería social Continuidad de negocio Seguridad de Bases de Datos Escaneo de Bases de Datos y Big Data Seguridad de datos empresariales Seguridad de Aplicaciones WAF (Web Application Firewall) Escaneo de Aplicaciones Monitoreo de contenido WEB Acompañamiento y apoyo en: Remediación Documentación Análisis de riesgos Flujos de datos

7 Líneas de servicio Monitoreo de aplicaciones web y revisión de código fuente Diseño, implementación y Operación: Business Continuity Management BCP DRP ISO 27001:2013 PCI/PA DSS Auditoría y Capacitación

8 Ciberseguridad TRUST-ME consiente de la necesidad de las MICRO PYMES de acceder a la seguridad informática y de la información a precios razonables, logró reunir un grupo de profesionales y compañías expertos en seguridad y cumplimiento, para ofrecer soluciones al alcance de todos y ajustadas a cada necesidad en particular.

9 NUESTRA ESTRATEGIA Proteger a las empresas a través de soluciones integradas de seguridad en la nube y acompañarlas en todo su proceso de SGSI y Cumplimiento en forma física y automatizada. Seguridad Cumplimiento TrustOS Sistema Operativo Propietario 1TrustKeeper Portal de acceso Nuestras tecnologías integradas son mas efectivas y mas seguras con relación a su costo que las de la competencia.

10 GESTIÓN DE CIBERSEGURIDAD Diseño, implementación y operación automatizada de SGSI y marcos de control y seguridad de la información ISO 27001:2013 PCI/PA-DSS SOX GEL (Gobierno en Línea) Análisis de riesgos Gestión de activos Diseño e implementación de BCM (BCP/DRP) BIA Definición de plan de continuidad Marco procedimental de la estrategia de BCM Auditoría de sistemas de gestión y de infraestructura de TI

11 CIBERSEGURIDAD PENTESTING Y VULNERABILITY ASSESSMENT ACOMPAÑAMIENTO Y APOYO REVISIÓN DE CODIGO FUENTE Este servicio permite a las organizaciones contar con servicios de gestión de vulnerabilidades y pruebas de penetración bajo entornos controlados en las instalaciones de nuestros clientes. Lo anterior permite efectuar pruebas de alto nivel técnico sin poner en riesgo la información recopilada así como obtener beneficios en términos de costo. Este servicio aplica para la ejecución de pruebas externas e internas y favorece el cumplimiento de normas y estándares nacionales e internacionales como PCI DSS, C042 superfinanciera, SOX e ISO 27001:2013 entre otros. En la ejecución de estos servicios utilizamos una completa suite de herramientas para apoyar el trabajo y experiencia de nuestros asesores. Acompañamiento y apoyo en remediación de vulnerabilidades. Levantamiento de flujos de información, matrices de riesgos y documentación general de TI, SGSI alienadas con estándares de cumplimiento. Capacitación en sitio en: PCI-DSS ISO OWASP Programación segura Continuidad del negocio Análisis de riesgos Este servicio permite a las organizaciones contar con el endurecimiento de su arquitectura de aplicaciones, desde la fase del desarrollo mismo, lo cual permite una identificación temprana y bajo un esquema preventivo de aquellas vulnerabilidades asociadas al código y que una vez puestas en producción pueden representar un riesgo de nivel alto en la información y los servicios entregados. Para este servicio Trust-Me cuenta con aliados tecnológicos de primer nivel que interactuando con nuestro framework de servicio, podrán ofrecer una solución económica, confiable y sobre todo de optima calidad.

12 CIBERSEGURIDAD ENTRENAMIENTO COMPUTO FORENSE E INVESTIGACIÓN DIGITAL Trust-Me ofrece a sus clientes servicios de entrenamiento especializado en diferentes temas asociados con Ciberseguridad y TICS, este entrenamiento se realiza mediante cursos abiertos o paquetes de formación a la medida de acuerdo con las necesidades de su empresa y únicamente son dictados con la garantía de instructores certificados y con amplia experiencia en el temario asociado. Los temas de capacitación ofrecidos por Trust-Me comprenden entre otros: Sistema de gestión de protección de datos (SGPD) Sistema de gestión de seguridad de la información (SGSI, ISO 27001) Gestión del riesgo Gestión de continuidad del negocio y de TI Pentesting y gestión de vulnerabilidades Introducción al computo forense y sus aplicaciones PCI -DSS un estándar global Desarrollo seguro de aplicaciones Somos provee servicios especializados en computo forense y gestión de evidencia digital, servicios soportados en el laboratorio especializado de su aliado estratégico Trustwave y su equipo certificado de consultores y peritos de amplia experiencia en la materia, lo cual permite la ejecución de actividades asociadas con respuesta a incidentes, recolección, análisis y presentación de evidencia digital y en general situaciones en las que la manipulación de evidencia digital sea pieza clave. Fuga de datos Fraude Informático Conductas fraudulentas Conflictos laborales Espionaje industrial Uso indebido de los sistemas informáticos Errores informáticos y de sistema Competencia desleal

13 Proceso Integrado de Cumplimiento y Seguridad (P.I.C.S) Permítanos acompañarlo en todo el ciclo P.H.V.A. (Planear, Hacer, Verificar y Actuar) de sus procesos de seguridad informática y de la información y apoyarlo en los exigentes procesos de cumplimiento de normativas y estándares tanto nacionales como internacionales, mientras se concentra en hacer crecer su negocio. Nuestros P.I.C.S. están diseñados para brindar soluciones integrales y efectivas y que se adapten a cada organización.

14 Proceso Integrado de Cumplimiento y Seguridad (P.I.C.S) Levantamiento y documentación de Procesos y políticas Análisis de riesgos GAP Herramientas de control, monitoreo y seguridad Entrenamiento y capacitación de personal Implementación de controles y procesos Acompañamiento y asesoría en remediación Manejo y respuesta de incidentes Ajuste e implementación de controles y procesos Auditorias y evaluaciones de: PCI-DSS, PA-DSS Hacking Ético Pruebas de vulnerabilidad Ingeniería Social

15 SERVICIOS GESTIONADOS GESTION DE AMENAZAS Prevenir las Amenazas Internas y Externas a través de una Combinación de Servicios de Inteligencia, Detección, Protección y Remediación. GESTION DE VULNERABILIDADES Escanear proactivamente, probar y remediar vulnerabilidades de base de datos, red y aplicaciones para proteger activos internos. SERVICIOS GESTIONADOS GESTION DE CUMPLIMIENTO Ayudar a identificar e implementar mejores prácticas de seguridad, mediante el marco multi-compliance.

16 PORTAFOLIO DE SERVICIOS GESTIONADOS GESTION DE VULNERABILIDADES Pruebas de Penetración de red y de aplicaciones. Gestión Web Application Firewall (WAF) Escaneo de Aplicaciones Escaneo de Vulnerabilidades de Red (IVS, EVS) Investigación Forense Respuesta a Incidentes Revisión de código de aplicación GESTION DE AMENAZAS Administración SIEM Administración NAC DLP (Prevención de perdida de Datos) Inteligencia de Amenazas Seguridad , Web & Antimalware Gateways (SWG, SEG) GESTION DE CUMPLIMIENTO Consultorías orientadas al cumplimiento Diagnostico GAP Auditorias Análisis de Riesgos

17 GoPenTest-X1 Para verificar los controles de la seguridad informática hemos diseñado el GoPenTest-X1 Tecnologías que puede analizar GoPenTest-X1 : Páginas WEB - Aplicaciones WEB - Cloud Computing Sitemas operativos de dispositivos móviles Portales Transaccionales (Banca Virtual) y POS Computadores PCs y Portátiles Servidores (Físicos y Virtuales) Cajeros automáticos Redes inalámbricas y alámbricas (Switch, Router, AP) Bases de Datos UTMs, Firewalls, IDS/IPS, Appliance de Seguridad Dispositivos bajo infraestructura SCADA Internet de las cosas que funcionan por medio de direcciones Ips Entre otros Modelo: GOPT-X1

18 HACKING ÉTICO TIPOS DE HACKING ÉTICO: CAJA BLANCA: El cliente SI suministrará toda la información del objetivo solicitada por los Ethical Hackers. De igual forma tendrá acceso a las credenciales del dispositivo analizado. CAJA GRIS: El cliente suministrará información parcial del objetivo pero estará ubicado dentro de la organización, lo que permitirá al atacante obtener mas información sobre el objetivo por su cuenta. Un ejemplo claro puede ser la perspectiva de un funcionario o visitante de la organización. CAJA NEGRA: El cliente NO suministrará información alguna del objetivo a analizar. Un ejemplo es simular el ataque de una persona externa a la organización.

19 ESCENARIOS PARA HACKING ÉTICO

20 FASES DEL HACKING ÉTICO

21 H.F.D. HUMAN FIREWALL DEVELOPMENT

22 H.F.D. HUMAN FIREWALL DEVELOPMENT Reconocimiento Físico Virtual Recolección Relación Utilización

23 Cumplimiento H.F.D. HUMAN FIREWALL DEVELOPMENT Análisis Resultados en contexto Diseño de estrategia de sensibilización

24 CERTIFICACIONES DEL EQUIPO

25 Business Manager L AC +57 (1) (57) diego.bernal@trustme.net.co Diego.Alberto.Bernal.Henao