Los Servicios de Evaluación de Seguridad realizado sobre Aplicaciones y/o Infraestructura Tecnológica permite observar, evaluar, gestionar y mejorar los niveles de Cumplimiento, Seguridad de la Información y exposición a riesgos tecnológicos de la organización, en concordancia con lo propuesto por diversos estándares tales como ISO/IEC 27002, CobiT, COSO 2013, PCI-DSS y la ley Sarbanes-Oxley (SOX), entre otros.

El descubrimiento, análisis y valorización de vulnerabilidades técnicas o tecnológicas, deben ser actividades autorizadas, programadas y con un alcance definido. Algunas organizaciones tienen la exigencia de ejecutar este tipo de estudio semestralmente. Cómo una buena práctica, se recomienda que estas actividades sean realizadas por un asesor externo, tal como lo plantea la norma ISO/IEC 27002:2013 en su cláusula de control 18.2.1 (Revisión Independiente de Seguridad de la Información).

Las diferentes leyes y normativas imponen la necesidad de implementar, medir y gestionar controles internos, los cuales deben ser realizados mediante la aplicación de técnicas que permitan evaluar y ofrecer la confiabilidad requerida por el negocio de parte de las soluciones tecnológicas utilizadas para la materialización de los productos y/o servicios claves de la organización.

El foco principal un análisis de riesgo y auditoría de seguridad, es poder evaluar de manera efectiva, en un entorno controlado, con una metodología que emule el comportamiento real de los atacantes, los niveles de seguridad que poseen las Aplicaciones y/o Infraestructura Tecnológica del cliente; obteniendo como resultado evidencia clara y acciones concretas, priorizadas y organizadas que deben ser ejecutadas para elevar los niveles de protección de la organización.

Un análisis de riesgo y auditoría de seguridad debe corregir los defectos y vulnerabilidades de las herramientas automáticas, como ser el diseño/arquitectura, los errores de autorización, los errores de lógica de negocio, el escalamiento de vulnerabilidades (efecto domino), la explotación de defectos que comprometen la confidencialidad, privacidad o integridad de recursos protegidos. El resultado debe asegurar la calidad de los resultados finales y debe reducir los niveles de falsos positivos.  

Son muchas las ventajas de las nuevas tecnologías, sin embargo, implican una mayor exposición a amenazas que pueden poner en peligro la privacidad y seguridad de la información.

De allí nace la importancia análisis de riesgo y auditoría de seguridad de la información, ya que la misma nos permitirá saber periódicamente el estado de seguridad de nuestros sistemas.

Entre los beneficios de estas auditorías cabe destacar que:

Los servicios profesionales de ITC en Análisis de Riesgos y Auditorías de Seguridad son atendidos por profesionales senior certificados y especializados en diferentes tecnologías y procesos; y ofrecen alternativas de acuerdo con el riesgo, vulnerabilidad y/o necesidad:

Evaluación y certificación

Repetición del proceso de evaluación como acción de validación de la efectividad de las acciones de corrección realizadas en base a los resultados y recomendaciones entregados como resultado del proceso inicial de evaluación.

Análisis de Vulnerabilidad

Servicio enfocado en la ejecución de actividades de evaluación, identificación, validación y categorización de vulnerabilidades, lo que permitirá realizar una administración efectiva y gestionar de forma asertiva los niveles de riesgos asociados a las vulnerabilidades presentes en las plataformas evaluadas.

Descubrimiento de Vulnerabilidades

Actividades de descubrimiento basadas en la utilización de herramientas automatizadas de descubrimiento de red y el análisis experto de profesionales en el área de análisis y auditorías de redes; para identificar dispositivos y/o servicios no inventariados ni controlados y detectar el tipo específico de vulnerabilidad y/o problema de configuración presente.

Análisis y Eliminación de Falsos Positivos

Las herramientas de descubrimiento no siempre identifican de manera concluyente las vulnerabilidades presentes en la infraestructura tecnológica. Una vulnerabilidad no concluyente, que en definitiva podría potencialmente ser “falso positivo” debe ser validada o descartada tempranamente a fin de evitar destinar esfuerzo y posiblemente presupuesto en su remediación. La eliminación de los “falsos positivos” permite generar un informe de vulnerabilidades real y asertivo.

Definición de Mecanismos de Contención / Mitigación

En base a la posición que ocupe la vulnerabilidad identificada y evaluada dentro del mapa de riesgos, ITC propone un conjunto de medidas que permitan contener y mitigar las vulnerabilidades validadas, en un informe amplio de tratamiento de riesgos, revisado y aprobado por el cliente.

Definición de Planes Correctivos

Para aquellos casos en los cuales las vulnerabilidades evaluadas aún representan un riesgo potencial para el cliente, ITC entrega propuestas de planes correctivos y recomendaciones técnicas en base a metodologías internacionales.

Bolivia

Logo ITC Group

Santa Cruz

La Paz

Cochabamba