SERVICIOS DE SEGURIDAD DE LA INFORMACIÓN SERVICIO DE HACKING ÉTICO

Transcripción

1 SERVICIOS DE SEGURIDAD DE LA INFORMACIÓN SERVICIO DE HACKING ÉTICO

2 OBJETIVO IQ INFORMATION QUALITY, presenta los servicios para realizar las pruebas de HACKING ÉTICO, con el fin de verificar los niveles de seguridad actuales. La propuesta que se presenta en el documento expone el servicio integral en el desarrollo del Hacking Ético a los diferentes dispositivos pertenecientes a la infraestructura específica del proyecto, con el objetivo de realizar pruebas de cumplimiento y verificaciones de la seguridad implantada en su organización. El proyecto reúne las grandes fortalezas de IQ INFORMATION QUALITY concentradas en la experiencia, formación y conocimiento de su equipo de trabajo. Su especializado portafolio de soluciones y servicios permite satisfacer las necesidades en materia de verificaciones de seguridad. Adicionalmente IQ INFORMATION QUALITY pone a su disposición metodologías exclusivas de implementación como lo son OSSTMM, OWASP e ISSAF, con altos estándares de calidad que garantizarán un correcto desarrollo de todo el proyecto en sus diferentes fases y su sostenibilidad en el futuro. Lo invitamos a leer el contenido de este servicio, en donde se detallan los detalles de las pruebas, las estrategias y acciones a desarrollar para el sostenimiento de su posición competitiva en el mercado basado en la consultoría propuesta

3 SERVICIOS POR SEPARADO HACKING ÉTICO Pruebas de Ingeniería Social Pruebas de Análisis de Vulnerabilidades Pruebas de Intrusión (PenTest) Pruebas de Negación del Servicio Pruebas a Plataformas de Pagos. AUDITORIAS Y VERIFICACIÓN DE CUMPLIMIENTO DE TERCEROS SERVICIOS GESTIONADOS DE ANÁLISIS DE VULNERABILIDADES SERVICIOS GESTIONADOS DE REVISIÓN DE CÓDIGO FUENTE HACKING ÉTICO PLANES DE CONCIENTIZACIÓN Y ENTRENAMIENTO AL RECURSO HUMANO

4 TIPOS DE HACKING ÉTICO CAJA BLANCA: El cliente SI suministrará toda la información del objetivo solicitada por los Ethical Hackers. De igual forma tendrá acceso a las credenciales del dispositivo analizado. CAJA GRIS: El cliente NO suministrará información del objetivo pero estará ubicado dentro de la organización, lo que permitirá al atacante obtener información sobre el objetivo por su cuenta. Un ejemplo claro puede ser la perspectiva de un funcionario de la organización. CAJA NEGRA: El cliente NO suministrará información alguna del objetivo analizado. Un ejemplo es simular el ataque de una persona externa a la organización.

5 ESCENARIOS DE PRUEBAS SERVICIO DE HACKING ÉTICO

6 BASES DE DATOS CONSULTADAS SERVICIO DE HACKING ÉTICO

7 EQUIPO DE TRABAJO Organigrama del Equipo de Trabajo Certificaciones Gerente del Proyecto Dedicación parcial Dedicación completa Coordinador de Pruebas de HACKING ÉTICO Consultor Sénior Ethical Hacker Especializado Dedicación puntual Consultor Senior Ethical Hacker Dedicación completa Consultor Junior Ethical Hacker Dedicación completa AREA DE INVESTIGACIÓN

8 METODOLOGÍAS PRUEBAS DE HACKING ÉTICO PLANES DE REMEDIACIÓN Y MEJORES PRACTICAS Benchmark

9 FASES DEL SERVICIO FASE VI: INFORME TÉCNICO / EJECUTIVO H A C K I N G FASE V: RE TEST (FASE II) FASE IV: INFORME TÉCNICO É T I C 0 FASE III:PRUEBAS DE INTRUSIÓN (PenTest) FASE II: PRUEBAS DE ANÁLISIS DE VULNERABILIDADES FASE I: PRUEBAS DE RECOLECCIÓN DE INFORMACIÓN

10 FASES ESPECIALIZADAS FASE: PRUEBAS ANTIFORENSES - BORRADO DE EVIDENCIAS H A C K I N G FASE: PRUEBAS DE ANÁLISIS DE VULNERABILIDADES A CÓDIGO FUENTE FASE : PRUEBAS DE STRESS FASE: PRUEBAS A REDES INALAMBRICAS É T I C 0 FASE: PRUEBAS DE PASSWORD CRACKING FASE: PRUEBAS DE NEGACIÓN DEL SERVICIO FASE: PRUEBAS DE INGENIERIA SOCIAL

11 TECNOLOGIAS DE INFORMACIÓN Y COMUNICACIONES ANALIZADAS : PAGOS ELECTRONICOS Cajeros Automáticos (ATM) Banca Virtual (online) Centro de atención telefónica (Call Center) SERVERS / SISTEMAS OPERATIVOS Linux Novell NetWare UNIX Benchmarks Microsoft Windows Otros ENTORNOS VIRTUALIZADOS VmWare Hyper-V Otros TECNOLOGIAS MÓVILES Banca Móvil iphone Android BlackBerry Otros BASES DE DATOS Oracle SQL Server Postgress Otros DISPOSITIVOS DE COMUNICACIONES (NETWORKING) Routers Switches VozIP Análisis de Trafico Otros DISPOSITIVOS DE SEGURIDAD Firewalls IDS / IPS UTMs Otros WEB APP / CLIENTE SRV CLOUD COMPUTING SCADA

12 CUMPLIMIENTO Circular Externa 052 ANALISIS DE VULNERABILIDADES Superintendencia Financiera de Colombia adopta nuevos estándares prudenciales para carteras colectivas que inviertan en instrumentos de contenido crediticio. PCI Compliance PCI DSS (Payment Card Industry Data Security Standard) La misión del PCI Security Standards Council es aumentar la seguridad de los datos de cuentas de pago mediante la promoción de la educación y el conocimiento sobre las Normas de seguridad de la PCI (Industria de tarjetas de pago). La Ley Sarbanes Oxley nace en Estados Unidos con el fin de monitorizar a las empresas que cotizan en bolsa de valores, evitando que las acciones de las mismas sean alteradas de manera dudosa, mientras que su valor es menor. Su finalidad es evitar fraudes y riesgo de bancarrota, protegiendo al inversor.

13 Calle 109 Nº 18 B - 31 Oficina 205 Bogotá D.C., Colombia Tels. (571) Fax. (571) andres.herrera@iqcol.com Information Quality Copyright 2009