RESUMEN DE SERVICIOS

RESUMEN DE SERVICIOS Confidencial Enero 2014

Tabla de contenido Análisis de vulnerabilidades... 4 Por qué contratar el servicio?... 4 Características... 4 Plataformas... 5 Por qué confiar en GAIDEN?... 5 Tiempo de implementación... 5 Pruebas de Intrusión y Hacking Ético... 6 Por qué contratar el servicio?... 6 Características... 6 Plataformas... 7 Por qué confiar en GAIDEN?... 7 Tiempo de implementación... 7 Análisis de riesgos... 8 Por qué contratar el servicio?... 8 Características... 8 Por qué confiar en GAIDEN?... 8 Tiempo de entrega... 9 Borrado seguro... 9 Por qué contratar el servicio?... 9 Características... 9 Plataformas... 10 Por qué confiar en GAIDEN?... 10 Tiempo de implementación... 10 2

MAAGTIC-SI... 11 Por qué contratar el servicio?... 11 Características... 12 Por qué confiar en GAIDEN?... 12 Tiempo de implementación... 12 Monitoreo y Rastreo Móvil... 13 Por qué contratar el servicio?... 13 Características... 13 Plataformas... 13 Por qué confiar en GAIDEN?... 14 Tiempo de implementación... 14 Encripción de llamadas... 15 Por qué contratar el servicio?... 15 Características... 15 Plataformas... 16 Por qué confiar en GAIDEN?... 16 Tiempo de implementación... 16 Programación segura... 17 Por qué contratar el servicio?... 17 Características... 17 Plataformas... 17 Por qué confiar en GAIDEN?... 18 Tiempo de implementación... 18 3

Análisis de vulnerabilidades Por qué contratar el servicio? Con el paso del tiempo el acceso a la información confidencial de las empresas se ha vuelto muy crítico y es necesario implementar los medios necesarios para poder blindar dicha información. Nuestros servicios de análisis de vulnerabilidades permiten dar visibilidad a nuestros clientes mostrando las vulnerabilidades de sus aplicativos así como la clasificación de las mismas. Con el análisis de vulnerabilidades se puede evitar la intrusión no permitida y/o robo de la información de manera preventiva, manteniendo su confidencial para los clientes o usuarios. Tipo de servicio de análisis de vulnerabilidades: Auditoría Externa. El análisis de vulnerabilidades del tipo externo se realiza remotamente; es decir, desde redes públicas externas (Internet). Auditoría Interna. El análisis de vulnerabilidades del tipo interno se realiza dentro de la red interna, donde se encuentra conectado físicamente y lógicamente el servidor, host o aplicación. Características Análisis de vulnerabilidades de redes ya sea a servidores o estaciones de trabajo dentro de su red interna. Análisis de vulnerabilidades web desde el exterior a su aplicación publicada en Internet. Análisis de vulnerabilidades web desde el interior de su organización. Análisis de vulnerabilidades de su red inalámbrica o red de telefonía IP. Análisis de vulnerabilidades de la seguridad perimetral de su aplicación web o servidor. 4

Plataformas HTML, PHP, SQL, ASP, JAVA Gestores de contenido (Joomla, Drupal, Wordpress). Linux Mac Windows Servidores de correo electrónico Servidores de Dominio (DNS) Servidores DHCP Por qué confiar en GAIDEN? Somos una empresa consolidada que provee a sus clientes un producto y un servicio de probada calidad. A diferencia de otros proveedores, nosotros trabajamos bajo los mejores estándares de seguridad de la información. Antes de realizar cualquier análisis de vulnerabilidades se solicita una autorización por parte del cliente en la cual se especifica las condiciones del servicio. Con esto, el cliente definirá el alcance y tendrá la confianza de que no se va a afectar su operación. Tiempo de implementación De 20 a 30 días dependiendo de la cantidad de aplicaciones o servidores que se van analizar. 5

Pruebas de Intrusión y Hacking Ético Por qué contratar el servicio? Existen muchos casos donde las organizaciones sufren incidentes que podrían haberse evitado si los mecanismos de protección hubieran sido reforzados en su momento. Los incidentes comprenden sucesos tales como fuga de información, accesos no autorizados, pérdida de datos, entre muchos otros. El análisis de los mecanismos de protección debe ser una tarea proactiva permitiendo que el servicio de pruebas de intrusión y hacking ético puedan demostrar y explotar las vulnerabilidades (pruebas ofensivas contra los mecanismos de defensa existentes en el entorno que se está analizando) para brindar una solución antes de que un ciberdelincuente (hacker) aproveche esta debilidad. Características Pruebas de Intrusión ya sea a servidores o estaciones de trabajo dentro de su red interna. Pruebas de Intrusión web desde el exterior a su aplicación publicada en Internet. Pruebas de Intrusión web desde el interior de su organización. Pruebas de Intrusión a redes inalámbricas o red de telefonía IP. Pruebas de Intrusión a la seguridad perimetral de su aplicación web o servidor crítico. 6

Plataformas HTML, PHP, SQL, ASP, JAVA Gestores de contenido (Joomla, Drupal, Wordpress, etc). Linux Mac Windows Servidores de correo electrónico. Servidores de Dominio (DNS). Servidores DHCP. Por qué confiar en GAIDEN? Somos una empresa consolidada que provee a sus clientes un producto y un servicio de probada calidad. A diferencia de otros proveedores, nosotros trabajamos bajo los mejores estándares de seguridad de la información. Antes de realizar cualquier prueba de penetración o hacking ético se solicita una autorización por parte del cliente en la cual se especifica las condiciones del servicio. Con esto, el cliente definirá el alcance y tendrá la confianza de que no se va a afectar su operación. Es importante señalar que para realizar estas pruebas el cliente deberá ser dueño o responsable de la información. Tiempo de implementación De 20 a 30 días dependiendo de la cantidad de aplicaciones o servidores que se van analizar. 7

Análisis de riesgos Por qué contratar el servicio? Con el paso del tiempo el acceso a la información confidencial de las empresas se ha vuelto muy crítico y es necesario implementar los medios necesarios para poder blindar dicha información. Es importante que CFE conozca el tipo de vulnerabilidades y amenazas a los que se encuentran expuestos sus activos informáticos así como la probabilidad de ocurrencia, a fin de determinar los controles adecuados para aceptar, disminuir, transferir o evitar la ocurrencia del riesgo reduciéndose así el impacto a financiero, administrativo y de operación si llegaran a ser explotadas. Características Se identifican los activos a proteger o evaluar. Se realiza la evaluación con el objeto de alcanzar un nivel razonable de consenso en torno a los objetivos en cuestión y asegurar un nivel mínimo que permita desarrollar indicadores operacionales a partir de los cuales medir y evaluar. Los resultados obtenidos del análisis, van a permitir aplicar alguno de los métodos para el tratamiento de los riesgos, que involucra identificar el conjunto de opciones que existen para tratar los riesgos, evaluarlas, preparar planes de mitigación y ejecutarlos. Por qué confiar en GAIDEN? Somos una empresa consolidada con amplia experiencia en la identificación de vulnerabilidades y amenazas en organismos de Gobierno Federal. Trabajamos bajo los mejores estándares de seguridad de la información. Somos un equipo de especialistas en el área de seguridad de la información con más de 20 años de experiencia. 8

Tiempo de entrega De 20 a 30 días dependiendo de la cantidad de vulnerabilidades encontradas. Borrado seguro Por qué contratar el servicio? Una empresa como CFE maneja grandes volúmenes de información para lo cual requiere apoyarse de un número considerable de servidores, equipos de cómputo y medios de almacenamiento para alojar esta información. Si se presentara la necesidad de reasignar el equipo, venderlo o destruirlo es necesario no subestimar la posibilidad de que la información podría ser recuperada por personas que podrían hacer mal uso de la misma. El servicio de borrado seguro va más allá de solo borrar y formatear los equipos o medios de almacenamiento pues en este último caso lo que sucede es que se borran los accesos a los archivos pero muchas veces éstos permanecen intactos. Características Llevar a cabo un borrado remoto y totalmente automatizado de la forma más rápida y segura posible. Mitigar el riesgo de responsabilidades legales, daños a su reputación y pérdida de activos empresariales de TI. Cumplir con las normativas mundiales de seguridad y privacidad. Administrar los procesos de eliminación de activos de TI, incluida la distribución de software de saneamiento de datos y la creación de informes con fines de auditoría. Recopilar, conservar y administrar datos para todos sus activos de TI, incluidos los no funcionales, como impresoras y fotocopiadoras. 9

Plataformas Linux Mac Windows Por qué confiar en GAIDEN? Somos una empresa consolidada que provee a sus clientes un producto y un servicio de probada calidad. Trabajamos bajo los mejores estándares de seguridad de la información. Tiempo de implementación De 20 a 30 días dependiendo de la cantidad de dispositivos sobre el que se realizará el servicio. 10

MAAGTIC- SI Por qué contratar el servicio? El MAAGTIC-SI es un manual que describe los procesos de tecnologías de información y comunicaciones, distribuidos en grupos por área de conocimiento o dominio de aplicación. Para cada área de conocimiento se utilizan los principales estándares y mejores prácticas relacionadas. El objetivo de la dirección del MAAGTIC consiste en definir los lineamientos de gobernabilidad y estrategia para establecer líneas de acción en materia de TIC, el establecimiento del modelo de gobernabilidad de TIC, Planeación estratégica de TIC Determinación de dirección tecnológica. En el marco normativo del MAAGTIC se enlistan los distintos documentos (Constitución, leyes, reglamentos, decretos, entre otros) que regularizan el contenido del manual. El marco normativo que deben te cumplir las dependencias y entidades de la Administración Pública Federal, incluida por supuesto la CFE, que está orientado a simplificar, agilizar y hacer más efectivos los procesos bajo los cuales operan las Unidades de Tecnologías de Información y Comunicaciones (UTIC s), cuya aplicación será supervisada para su cumplimiento de la Secretaría de la Función Pública a través los Órganos Internos de Control. Tipo de servicio (Consultoría / RH). Consultoría, transferencia de conocimiento, Nivel de Gestión y Grupos de procesos aplicables a la Dependencia. Externa. (ejemplo): Administración de recursos. Administración del presupuesto de TIC Administración para las contrataciones de TIC. Administración de proveedores de bienes y servicios de TIC. 11

Interna (ejemplo): Dirección y control de la información. Administración de la seguridad de la información Operación de los controles de seguridad de la información y del ERISC. Características Presentar el enfoque metodológico de alineación de procesos MAAGTIC-SI en la dependencia, alcance de plan de trabajo y la relación entre procesos para determinar, alcance, tiempo, costo, calidad así como mejora continua. Por qué confiar en GAIDEN? Experiencia en implantación de MAAGTIC-SI en distintas dependencias del Gobierno Federal. Tiempo de implementación Para cumplir con los objetivos, se propone llevar acabo el análisis del modelo actual de la dependencia y el diseño del siguiente nivel de alineación a MAAGTIC-SI, considerando fases para su inicio. Preparación y Organización Análisis Diseño Homologar procesos Instrumentar Monitoreo Mejora continua 12

Monitoreo y Rastreo Móvil Por qué contratar el servicio? El monitoreo y rastreo móvil de GAIDEN es una avanzada solución basada en lineamientos de Ethical Hacking que permite el seguimiento de las actividades en teléfonos móviles que la CFE asigna a sus empleados de manera fácil y con una amplia gama de funciones disponibles que la convierten en la mejor aplicación móvil del mercado en su tipo. Características Una vez instalada es posible rastrear llamadas, supervisar actividades en Internet, tener acceso a los correos y mensajes de texto, ubicación del dispositivo móvil vía GPS, bloqueo de equipos, entre otras. Funciones y aplicaciones que pueden ser monitoreadas: Fotos y videos Apps Instaladas Control remoto Bloqueo de Sitios Web Bloqueador de Apps WhatsApp Viber Facebook imessage Skype Mapa de ubicación en tiempo real del teléfono/tableta Plataformas Android ios Blackberry Symbian 13

Por qué confiar en GAIDEN? Somos una empresa consolidada que provee a sus clientes un producto y un servicio de probada calidad. A diferencia de otros proveedores, nosotros trabajamos bajo los mejores estándares de seguridad de la información. Demostración de producto en tiempo real. Instalación de suscripción de producto demo en teléfono del cliente por un periodo de 5 días. (Sin compromiso). Tiempo de implementación 30 minutos por suscripción (Equipo). 14

Encripción de llamadas Por qué contratar el servicio? Al ser CFE una de las empresas de energía más importantes de México, se vuelve un imperativo proteger la información que ésta genera e intercambia entre sus ejecutivos, empleados y clientes. Uno de los medios donde se maneja un importante volumen de información y que representa mayor vulnerabilidad es la telefonía. Ya sea la red telefónica pública conmutada (PSTN), red de telefonía celular así como la telefonía sobre IP (VoIP), pues cada vez hay más aplicaciones y herramientas con las cuales se puede tener acceso a las conversaciones telefónicas por usuarios que no tengan un perfil técnico y más aún por el crimen organizado o usuarios malintencionados. El servicio de encripción de llamadas puede complementar la política de seguridad y protección de información de CFE. Características La solución propuesta por GAIDEN está caracterizada por: Encripción RSA de 4096 bits y AES de 256 bits; Intercambio de claves Diffie-Helman (DH); Funciones hash MD5 y SHA512 para integridad de voz; Agentes de protección que detectan, alertan y defienden contra ataques del tipo "Man-in-the-middle"; Llamadas 100% seguras; El software utiliza conexión de internet connectivity 3G, UMTS, HSPA, W-CDMA, EDGE, GPRS y WiFi; Compatible con teléfonos móviles y teléfonos fijos. Excelente calidad de voz Bajo consumo del procesador del dispositivo móvil. 15

Plataformas Telefonía celular o ios o Android o Windows Mobile o BlackBerry o Symbian Telefonía fija PBX Por qué confiar en GAIDEN? El servicio ofrecido por GAIDEN a través de la tecnología y socios tecnológicos obliga cumplir con los estándares internacionales de encripción de datos. Presenta una excelente calidad de voz; contiene una interface fácil e intuitiva que no requiere conocimientos técnicos o de seguridad. Tiempo de implementación Variable. Depende del número de activos a instalar. 16

Programación segura Por qué contratar el servicio? La historia del desarrollo de software ha demostrado que los defectos, errores y fallas lógicas son la principal causa de vulnerabilidades que son explotadas por los hackers. A través del análisis de miles de vulnerabilidades reportadas, los profesionales de seguridad han descubierto que la mayoría de ellas tienen su origen en un número relativamente pequeño e identificado de errores de programación. GAIDEN puede apoyar en la implementación de estándares de codificación segura que permitan la generación de guías y seguimiento de reglas en el software desarrollado por o para la CFE, con ello los productos pueden ser evaluados con el propósito de reducir significativamente las vulnerabilidades en el software antes de su despliegue. Características Los estándares de programación segura están agrupados según el propósito o nivel funcional de cada uno de los componentes de desarrollo, de tal manera, se tienen estándares orientados a: Patrones de diseño, Manejo de información confidencial, Validación de entradas de datos, Accesibilidad, Definición y uso de métodos o funciones, Construcción de objetos, Serialización, Control de accesos, Denegación de servicios, Inyección de datos vía SQL, entre otros. Plataformas C 17

C++ Java Perl.Net Por qué confiar en GAIDEN? El servicio ofrecido por GAIDEN toma como referencia las buenas prácticas y estándares de organismos internacionales. Adicionalmente, el equipo cuenta con más de 15 años de experiencia en el desarrollo de aplicaciones en distintas plataformas en aplicaciones empresariales y para gobierno. Tiempo de implementación Variable. Depende del tamaño de los sistemas a analizar o desarrollar. 18