Servicio de Protección Total Web



Documentos relacionados
Protección Total de Sitios Web

Requerimientos Técnicos para mantenimiento anual de certificación del Área Perimetral

SOLUCIONES EN SEGURIDAD INFORMATICA

Capítulo VII PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL

CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA

Lo valoras, Optimiti Network lo protege. Seguridad a otro nivel { DISPONIBILIDAD } { CONFIDENCIALIDAD } { INTEGRIDAD } Credenciales 2015

1.8 TECNOLOGÍA DE LA INFORMACIÓN

AUDITORÍAS TÉCNICAS PARA LA CERTIFICACIÓN DE LOS SISTEMAS DE RECOGIDA DE INICIATIVAS CIUDADANAS EUROPEAS

TERCERIZACIÓN DE SERVICIOS DE TI. ANEXO 4 - Actividades y niveles de servicio definidos para Primer Nivel de Soporte en Seguridad

Infraestructura Tecnológica. Sesión 10: Sistemas cortafuego

Acerca de esté Catálogo

Arquitectura de sistema de alta disponibilidad

Anexo I. Politicas Generales de Seguridad del proyecto CAT

1. Aplica medidas de seguridad pasiva en sistemas informáticos describiendo características de entornos y relacionándolas con sus necesidades

Información de Uso Interno elaborada por Credibanco. Divulgación limitada. PCI / DSS. (Payment Card Industry - Data Security Standard)

DESCRIPCIÓN DEL PROGRAMA TÉCNICO EN SEGURIDAD INFORMÁTICA

Information Security Network Management Solutions

PROGRAMA DEL CURSO. SEGURIDAD EN EQUIPOS INFORMATICOS MF0486_3 90 horas MEDIO-AVANZADO DURACION:

Programa de soporte técnico ampliado MSA Start

Haga clic para modificar el estilo de título del patrón Haga clic para modificar el estilo de texto del patrón

PROCESO ADMINISTRACIÓN DE RECURSOS TECNOLÓGICOS SUBPROCESO ADMINISTRACIÓN DE CONTINGENCIAS

Resumen de los protocolos de seguridad del Registro Telemático

Capítulo IV SEGURIDAD DE LA INFORMACIÓN ROLES Y ESTRUCTURA ORGANIZACIONAL

Capítulo 4 Pruebas e implementación de la aplicación CAPÍTULO 4 PRUEBAS E IMPLEMENTACIÓN DE LA APLICACIÓN

A la Dirección de Tecnología y Comunicaciones le corresponden las siguientes funciones generales:

Requisitos de control de proveedores externos

METODOLOGIAS DE AUDITORIA INFORMATICA

UNIVERSIDAD AUTÓNOMA DEL CARIBE PROCEDIMIENTO DE ATENCIÓN DE INCIDENTES Y REQUERIMIENTOS PARA EQUIPOS DE CÓMUPUTO Y/O PERIFÉRICOS GESTIÓN INFORMÁTICA

VICEPRESIDENCIA DE OPERACIONES DEPARTAMENTO DE SISTEMAS

ANEXO TÉCNICO No. 2 SERVICIOS DE SEGURIDAD DE LA INFORMACION PARA LA SOLUCIÓN PROVISTA

INFORME DE RESULTADOS DE LA 1 ENCUESTA DE SEGURIDAD DE LA INFORMACIÓN EN UNIVERSIDADES ECUATORIANAS MIEMBROS DE CEDIA

Procedimiento de Sistemas de Información

White Paper Gestión Dinámica de Riesgos

SEMANA 12 SEGURIDAD EN UNA RED

Aviso Legal. Entorno Digital, S.A.

MANUAL DE AYUDA TAREA PROGRAMADA COPIAS DE SEGURIDAD

PROCEDIMIENTO DE EVALUACIÓN Y ACREDITACIÓN DE LAS COMPETENCIAS PROFESIONALES CUESTIONARIO DE AUTOEVALUACIÓN PARA LAS TRABAJADORAS Y TRABAJADORES

REPÚBLICA DE PANAMÁ CONTRALORÍA GENERAL DE LA REPÚBLICA DE PANAMÁ

Servicios de Seguridad de la Información

BBVA emarkets Seguridad

Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 Documento: A5_Politica_Seguridad_V2

SISTEMA DE PAPELES DE TRABAJO PARA AUDITORÍA SPT AUDIT

Is not jus power, is reliability and trust. Yei Systems S.A. de C.V.

Procedimiento para el Manejo de No Conformidades, Acciones Preventivas y Correctivas del Sistema de Gestión Integral

Autorizan ejecución de la "Encuesta de Seguridad de la Información en la RESOLUCIÓN MINISTERIAL N PCM

MODELOS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN MADRID, 27 DE MAYO DE 2013

TECNOLOGIAS DE INFORMACION GUBERNAMENTAL OFICINA DE GERENCIA Y PRESUPUESTO

Gestión de Permisos. Bizagi Suite. Copyright 2014 Bizagi

PRUEBAS DE SOFTWARE TECNICAS DE PRUEBA DE SOFTWARE

Ataques XSS en Aplicaciones Web

We Care For Your Business Security

RESPUESTAS A OBSERVACIONES PRESENTADAS AL PROYECTO DE PLIEGO DE CONDICIONES:

Tecnologías Aplicadas al Dominio "Desarrollo, Adquisición y Mantenimiento de los Sistemas de Información"

Propuesta de Portal de la Red de Laboratorios Virtuales y Remotos de CEA

NORMATIVA DE HOSTING VIRTUAL DE LA UNIVERSIDAD DE SEVILLA (SIC - JUNIO 2014)

DESCRIPCIÓN DEL PROCESO DE RIESGO OPERACIONAL

Marco Normativo de IT

Solicitud de conexión de servidores físicos y virtuales departamentales

Microsoft es una marca comercial registrada o una marca comercial de Microsoft Corporation en Estados Unidos y otros países.

Directiva PCM/SG Directiva de seguridad ante la presencia de virus informático en la Presidencia del Consejo de Ministros

BOLETIN INFORMATVO PROTOCOLO DE SEGURIDAD IMPLEMENTADO POR SEGURIDAD DOSSI Y CIA LTDA

SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA

Soporte. Misión y Visión

Modelo de Política de Privacidad

Introducción. Objetivo. Implementar un detector de malware con software libre empleando el protocolo Netflow.

3-ANÁLISIS DE VULNERABILIDADES

Beneficios estratégicos para su organización. Beneficios. Características V

CÁMARA DE COMERCIO DE BUCARAMANGA DOCUMENTO DE SEGURIDAD

Seguridad en Servicios de Hosting

Security Health Check

Alcance y Descripción del producto APLICACIONES ESTANDAR INSTALACIÓN Y CONFIGURACIÓN EN SERVIDORES. Página 1 de 6

Elementos requeridos para crearlos (ejemplo: el compilador)

Manual de Acceso Remoto al Portal Timbó. Montevideo 2011

INFORME Nº GTI INFORME TÉCNICO PREVIO DE EVALUACIÓN DE SOFTWARE

En el artículo del mes pasado,

Soporte Técnico de Software HP

El proceso de Instalación de Microsoft SQL Server 2008

TERMINOS DE USO DE LOS SITIOS WEB PROPIEDAD DE COMERCIALIZADORA SIETE S.A. DE C.V

Ingeniería de Software. Pruebas

Sistema de Gestión de Proyectos Estratégicos.

Presentación. Porqué formarte con nosotros?

TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO

Q-expeditive Publicación vía Internet

UNIVERSIDAD AUTÓNOMA DEL CARIBE

GESTIÓN REMOTA Y CENTRALIZADA DE DISPOSITIVOS MÓVILES PROPUESTA DE COLABORACIÓN.

Resumen del trabajo sobre DNSSEC

TERMINOS DE REFERENCIA CONTRATACION CONSULTORIA NACIONAL

Bechtle Solutions Servicios Profesionales

Servicios Administrados de Infraestructura

POLÍTICAS DE PRIVACIDAD Y TRATAMIENTO DE DATOS PERSONALES TELEVISORA DE COSTA RICA S.A.

MINING SOLUTIONS LIMITADA

Auditorías de Seguridad: revisión como método de prevención. Vicente Aguilera Díaz Internet Security Auditors, S.L.

Guía de doble autenticación

Guía Rápida de Inicio

I INTRODUCCIÓN. 1.1 Objetivos

Infraestructura Tecnológica. Sesión 5: Arquitectura cliente-servidor

Políticas para Asistencia Remota a Usuarios

Técnico y sus funciones. 5. Función de los líderes. 6 Función del analista de datos. 6. Metas del Help Desk. 7 Definir el alcance del Help Desk.

SOLICITUD DE DESARROLLO Y ACTUALIZACIÓN DE APLICACIONES G OBIERNO D E L A CIUDAD DE BUENOS AIRES

Manual de Procedimiento. CREACION-ADMINISTRACION, RESPALDO DE DATOS Y CONTINUIDAD DEL NEGOCIO Procesos y Responsabilidades ECR Evaluadora Prefin S.A.

Transcripción:

Servicio de Protección Total Web Prevención de Fraude Inspecciones de Procesos, Tecnología, Personas y Lugares, Ethical hacking, Concientización y Capacitación en Seguridad Detección de Fraude Ambientes de control, basados en procesos, tecnología, personas y lugares, auditorias de identificación de prácticas Investigación de Fraude Análisis de Cómputo Forense Respuesta a Incidentes, Prevención de Fuga de Información, Seguridad de VIPs Information Security Coaching Identificamos sus habilidades y particularidades para definir una estrategia de seguridad alcanzable y sostenible info@antifraude.org / info@antifraude.co www.antfraude.org / www.antifraude.co

Tabla de contenido Confidencialidad... 3 Generalidades del Servicio... 3 Servicios Propuestos... 3 Protección Total Web Paquete Básico... 3 Servicio Complementario WAF + IPS en demanda... 4 Servicio Complementario Backup del Sitio web... 4 Servicio Complementario - Análisis de Vulnerabilidades... 5 Servicio Complementario - Ethical Hacking del sitio web... 5 Tareas a ejecutar durante el desarrollo de esta etapa:... 5 Resultados esperados... 6 Servicio Complementario - Aseguramiento del Sitio Web... 7 Servicio Complementario Análisis de cumplimiento PCI... 8 Servicio Complementario - Revisión de Código del sitio web... 8

Confidencialidad El cliente se obliga a mantener la confidencialidad absoluta con respecto a la información contenida en la presente propuesta. Esta "Información", solo podrá ser utilizada exclusivamente para el desarrollo de la(s) actividad(es) descritas por ANTIFRAUDE. Igualmente se compromete a tomar todas las medidas necesarias para que la información no llegue a manos de terceros bajo ninguna circunstancia y se obliga a no utilizarla para ningún objeto diferente al de adelantar las tareas que se deriven directamente del cumplimiento de las mencionadas actividades. Adicionalmente EL CLIENTE se compromete a devolver toda información tan pronto como termine la labor de evaluación de la presente propuesta si ANTIFRAUDE así lo solicita, junto con la confirmación escrita de que la misma no ha sido copiada ni reproducida y que EL CLIENTE no tiene en su poder ó en poder de terceros copia alguna de la misma. Las obligaciones señaladas en el presente acuerdo, continuaran vigentes aún después de su vencimiento o terminación. Generalidades del Servicio Nuestros servicios de suscripción anual le permiten definir un presupuesto único de seguridad como base de contrato, a un término mínimo de 1 año con renovaciones por periodos similares y utilizarlo efectuando las combinaciones de servicios que necesite. Nuestros servicios de seguridad por suscripción anual son perfectos para entidades de cualquier tamaño, que se preocupan por la seguridad de su información, quieren tener un asesor permanente que les indique las mejores prácticas manteniendo la independencia de criterio frente a su propio personal de IT o incluso al resto de la organización pero desean un servicio en demanda para evitar el costo de operación de tener contratado permanentemente un staff de seguridad. Servicios Propuestos Si requiere información adicional de cualquiera de los servicios, solicítela a info@antifraude.co Usted podrá disponer de su presupuesto anual de seguridad de la información utilizando los siguientes servicios: Protección Total Web Paquete Básico Servicio orientado a garantizar la protección de sitios web mediante el monitoreo remoto de amenazas que puedan afectar la continuidad o imagen del mismo. Este paquete básico incluye - Monitoreo 7x24 del malware en el sitio web (entre otros) o Obfuscated JavaScript injections o Cross Site Scripting (XSS) o Website Defacements o Hidden & Malicious iframes

o PHP Mailers o Phishing Attempts o Malicious Redirects o Backdoors (e.g., C99, R57, Webshells) o Anomalies o Drive-by-Downloads o IP Cloaking o Social Engineering Attacks o Muchos más - Monitoreo del Bloqueo (Blacklisting) de sitio web y eliminación de listas negras web - Monitoreo de cambios en WHOIS - Monitoreo de cambios en los DNS - Monitoreo de cambios en los certificados SSL (si se usan) - Monitoreo de cambios en el sitio web - Chequeo de los archivos en el servidor (por existencia de malware requiere acceso al servidor que será solicitado en el momento de hacer las revisiones programadas) - Alertas en tiempo real (notificación vía email) - Eliminación y limpieza de malware en el sitio web (requiere acceso al servidor, que será solicitado en el momento de hacer la remoción) Los servicios complementarios requieren la suscripción del paquete básico Servicio Complementario WAF + IPS en demanda Ponemos a disposición la posibilidad de enrutamiento del tráfico a través de web application firewall + Intrusion Prevention System en la nube, garantizando el bloqueo de las peticiones maliciosas que sean efectuadas al sitio web y que al mismo sólo lleguen las peticiones reales válidas. Este servicio proporciona una efectiva protección perimetral de seguridad en las consultas realizadas hacia el sitio web. Servicio Complementario Backup del Sitio web Efectuamos backups permanentes del sitio web de manera que sea posible una rápida recuperación en caso de presentarse un incidente y adicionalmente para garantizar versiones limpias, frescas y recientes delos mismos. Este servicio requiere el acceso al servidor. De una forma automatizada, utilizando las credenciales proporcionadas para FTP/SFTP el sistema efectúa copias regulares del sitio web y las almacena en la nube permitiendo un fácil acceso a las mismas.

Servicio Complementario - Análisis de Vulnerabilidades Análisis básico automatizado de las vulnerabilidades del sitio web. Estos análisis son 100% automáticos, basados en las herramientas QUALYS, APPSCAN, OPENVAS, NESSUS y/o cualquier otra disponible. No incluyen verificación de falsos negativos / positivos. El análisis de vulnerabilidades es un servicio apropiado para cumplimiento de normatividad y verificación de seguridad continua en un periodo de tiempo (por ejemplo verificación de tendencias anuales). Cada prueba de verificación sería una prueba adicional nueva. Nuestro servicio de análisis de vulnerabilidades incluye: - Ejecución de las pruebas - Análisis y elaboración de Informes - Presentación de Resultados - Reportes históricos de tendencias (si se han efectuado pruebas anteriores a los mismos elementos) - Servicio de Reminders buscamos ir más allá enviando recordatorios periódicos de las vulnerabilidades abiertas, para ayudar en la gestión de su cierre. Algunas ventajas de nuestro programa de análisis de vulnerabilidades: - No incurre en sobrecostos por desplazamiento de consultores a otras ciudades / países - No requiere la adquisición de software o hardware a instalar en sitio para la gestión de vulnerabilidades - Tenemos los precios más bajos del mercado, lo que permite efectuar un mayor cubrimiento de elementos - El costo fomenta la posibilidad de efectuar más análisis en cada periodo (por ejemplo, las instituciones financieras deben hacer al menos dos análisis al año). - Contamos con bases de datos de vulnerabilidades actualizadas al día, con los estándares internacionales de clasificación, garantizando que los hallazgos respondan a las últimas técnicas de ataques en el momento de la prueba Servicio Complementario - Ethical Hacking del sitio web El servicio de pruebas desde Internet, busca determinar los problemas de seguridad informática existentes y que sean visibles desde cualquier ubicación en Internet y que en caso de ser explotados o aprovechados podrían poner en riesgo la normal operación del negocio del cliente y sus aplicaciones web. La orientación de las pruebas siempre está alineada con la lógica del negocio, de manera que al identificar los riesgos, el peso de los mismos sea mayor para aquellos que impactan más gravemente la operación del negocio, facilitando la generación de un plan de inversión priorizado de acuerdo a las necesidades reales de continuidad. Tareas a ejecutar durante el desarrollo de esta etapa: Durante el desarrollo de esta etapa, se definirán aspectos como: - Escenarios: El escenario aplicable para estas pruebas, contando con información básica de la red (por lo menos el dominio de Internet o las direcciones IP autorizadas).

- Objetivos a evaluar (aquellos que son visibles desde Internet y que pueden afectar el negocio). - Restricciones (técnicas, administrativas o logísticas). De la misma manera, los tipos de pruebas que se realizarán durante esta etapa, están enmarcadas (pero no limitadas) en: - Pruebas de detección, validación y explotación de problemas de seguridad en servidores (Unix, Windows), mecanismos de seguridad (Firewalls, IDS, IPS, VPN), elementos de comunicación (enrutadores), servicios comunes (web, correo, DNS, POP3, etc). - Ataques comunes enfocados a protocolos (TCP Hijacking, IP Spoofing, ARP Spoofing, Sniffing, DoS de común acuerdo, SNMP Testing, etc), acceso remoto (Wardialing, PBX Testing, RAS Server Testing) - Ataques enfocados a servicios comunes, tales como WEB (Cross Site Scripting, CGI/ASP/PHP scanning, command execution), Correo. - Igualmente, se desarrolla un set de pruebas enfocadas especialmente a las aplicaciones transaccionales de Internet, buscando determinar los problemas de seguridad informática existentes que puedan ser aprovechados por cualquiera mediante el acceso no autorizado o el escalamiento de privilegios en aplicaciones propietarias, poniendo en riesgo la integridad de la información y la normal operación del negocio. Estas pruebas se centran en: La posibilidad de acceder de manera no autorizada al aplicativo La revisión de los mecanismos de autenticación El manejo de sesiones La posibilidad de inyección de código La manipulación de parámetros La ejecución de pruebas de stress La identificación de puntos de aborto de la aplicación El escalamiento de privilegios. La suplantación de credenciales. La confidencialidad en el manejo de datos. La manipulación de salidas o resultados. Los mecanismos de Autenticación. La información no advertida. Resultados esperados Como resultado de estas pruebas, se podrá determinar el nivel de seguridad de los elementos involucrados. Se tendrá entre otros los siguientes aspectos: - La información no advertida. - Resultados de la ejecución de herramientas especializadas en pruebas de seguridad. - Resultados de las pruebas manuales realizadas (p.e: usuarios, contraseñas, información crítica, etc.).

- En caso de tener acceso a un servidor, aplicación o en general cualquier elemento probado, se presentara el detalle de la manera que se logro vulnerar el elemento. - Se evaluaran los falsos positivos, para determinar los problemas reales existentes en cada uno de los elementos. - Toda la documentación relacionada, donde se incluye, los problemas encontrados, el riesgo asociado y la recomendación para la solución del mismo. Servicio Complementario - Aseguramiento del Sitio Web El aseguramiento está orientado a acciones correctivas que se deben realizar sobre la configuración de elemento que vaya a ser asegurado - En una primera instancia se generan las guias / checklists de configuraciones seguras que deberán ser implantadas por cada elemento. - Posteriormente se diseña el procedimiento de aseguramiento con todas las recomendaciones que se deben implementar, para la evaluación por parte del Administrador del servidor - Una vez se haya verificado que la compatibilidad de los pasos del aseguramiento no interfiere con las aplicaciones instaladas en el servidor se diseña el Script de aseguramiento, junto con un documento que contiene el procedimiento manual de los pasos que ejecuta el Script. - Posteriormente se genera el informe Final, con problemas encontrados, problemas mitigados, problemas no mitigados, y recomendaciones adicionales. - Con la información recolectada se complementa el checklist de aseguramiento, para proceder con su ejecución llevando un detallado registro de las acciones realizadas para poder replicar / retroceder el proceso en cualquier punto del mismo. Este checklist es realizado teniendo en cuenta las buenas prácticas de seguridad informática mundialmente aceptadas. - Una vez se ha ejecutado todo el proceso, se llevan a cabo las pruebas de aceptación de servicio, que permiten establecer al administrador que posterior al aseguramiento, el elemento sigue presentando su funcionalidad sin problema alguno. Las actividades de aseguramiento estarán dirigidas a: - Corregir problemas de seguridad existentes en la plataforma - Configurar de manera adecuada los diferentes parámetros de seguridad de los servidores - Recomendar los últimos parches de seguridad liberados por el fabricante - Configurar de manera segura, permisos, servicios y usuarios de los diferentes servidores con el fin de minimizar riesgos asociados a los mismos. Finalmente como resultado de las actividades anteriores, se presenta un documento donde se presentaran los cambios realizados y no realizados.

Servicio Complementario Análisis de cumplimiento PCI Este servicio complementario contempla la ejecución de análisis especializados para el cumplimiento del estándar internacional PCI-DSS y está orientado a sitios web transaccionales, identificando oportunidades en las cuales la información sensible de métodos de pago pueda ser vulnerada. Servicio Complementario - Revisión de Código del sitio web Nuestro servicio de revisión de código incluye la revisión de arquitectura para identificar las posibles vulnerabilidades, fallas y/o oportunidades de mejoramiento asociados con la arquitectura del sitio web. Adicionalmente incluye la revisión de diseño y código fuente ejecutando pruebas automáticas y desarrollo de pruebas de unidad; donde se pretende analizar de forma automática la totalidad del código fuente en busca de patrones de vulnerabilidad conocidos y diseñar scripts que sirvan para probar los escenarios identificados y casos de uso de forma automática y un Análisis manual; donde se realizará una revisión manual línea por línea del código fuente donde se identificarán fallas o posibles vulnerabilidades sobre la aplicación. Actualmente prestamos este servicio sobre lenguajes C/C++, Java, PL/SQL, C#, VB, PHP. Este servicio requiere el envío del código fuente del sitio web para análisis fuera de línea.

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback