Portafolio Servicios de Seguridad Prevención de Fraude Detección de Fraude Inspecciones de Procesos, Tecnología, Personas y Lugares, Ethical hacking, Concientización y Capacitación en Seguridad Calificación de Riesgos, Ambientes de control, basados en procesos, tecnología, personas y lugares, auditorias de identificación de prácticas Investigación de Fraude Análisis de Cómputo Forense Respuesta a Incidentes, Prevención de Fuga de Información, Ajuste de Siniestros, Seguridad de VIPs Information Security Coaching Identificamos sus habilidades y particularidades para definir una estrategia de seguridad alcanzable y sostenible [email protected] / [email protected] www.antfraude.org / www.antifraude.co Bogotá, Colombia - Av Cra 9 # 113 - 52 ofc. 401 PBX (571) 7429040 Móvil (57 318) 7358018 Ayudamos a prevenir, detectar e investigar el fraude Portafolio de Servicios de Seguridad AntiFraude® Tabla de contenido Generalidades del Servicio ............................................................................................................................................................ 4 Servicios de Calificación de Riesgos .............................................................................................................................................. 4 Calificación de Riesgo Tecnológico ........................................................................................................................................... 4 Calificación de Riesgo en Procesos ........................................................................................................................................... 4 Calificación de Riesgo basado en Fuentes Públicas................................................................................................................. 5 Servicios de Prevención de Fraudes ............................................................................................................................................. 5 Diseño de Ambientes de Control .............................................................................................................................................. 5 Servicios de Investigaciones Digitales........................................................................................................................................... 6 Inteligencia Informática............................................................................................................................................................. 6 Servicios de Respuesta a Incidentes ......................................................................................................................................... 6 Informática Forense................................................................................................................................................................... 6 Ajuste de Siniestros / Investigaciones Digitales....................................................................................................................... 7 Servicios de E-Discovery ............................................................................................................................................................ 7 Servicios de Protección de VIPs .................................................................................................................................................... 7 Gestión de la Reputación en Línea ........................................................................................................................................... 7 Protección Digital ....................................................................................................................................................................... 8 Servicios de Seguridad de la Información .................................................................................................................................... 8 Acompañamiento Técnico en Seguridad.................................................................................................................................. 8 Consultor Especializado en Seguridad de la Información ....................................................................................................... 8 Oficial de Seguridad de la Información en Outsourcing.......................................................................................................... 8 Análisis de Vulnerabilidades...................................................................................................................................................... 9 Ethical Hacking ........................................................................................................................................................................... 9 Ethical Hacking Externo ......................................................................................................................................................... 9 Ethical Hacking Interno ....................................................................................................................................................... 11 Ethical Hacking Aplicaciones (internas o externas). .......................................................................................................... 12 Ethical Hacking Garantizado ............................................................................................................................................... 14 Aseguramiento ......................................................................................................................................................................... 14 Servicios de Revisión de Código.............................................................................................................................................. 15 Servicios de Consultoría Especializada en Seguridad de la Información ............................................................................. 15 Proyectos especiales................................................................................................................................................................ 17 [email protected] / [email protected] www.antfraude.co / www.antifraude.org Bogotá, Colombia - Av Cra 9 # 113 - 52 ofc. 401 PBX (571) 7429040 Móvil (57 318) 7358018 Ayudamos a prevenir, detectar e investigar el fraude Portafolio de Servicios de Seguridad AntiFraude® Servicios de Concientización y Capacitación .............................................................................................................................. 17 [email protected] / [email protected] www.antfraude.co / www.antifraude.org Bogotá, Colombia - Av Cra 9 # 113 - 52 ofc. 401 PBX (571) 7429040 Móvil (57 318) 7358018 Ayudamos a prevenir, detectar e investigar el fraude Portafolio de Servicios de Seguridad AntiFraude® Generalidades del Servicio Nuestros servicios permiten definir un presupuesto único de seguridad como base de contrato, a un término de tiempo acordado entre las partes y con posibilidad de renovaciones por periodos similares y utilizarlo efectuando las combinaciones de servicios que necesite. Nuestros servicios de seguridad son perfectos para entidades de cualquier tamaño, que se preocupan por la seguridad de su información, quieren tener un asesor permanente que les indique las mejores prácticas manteniendo la independencia de criterio frente a su propio personal de IT o incluso al resto de la organización pero desean un servicio en demanda para evitar el costo de operación de tener contratado permanentemente un staff de seguridad. Si requiere información adicional de cualquiera de los servicios, solicítela a [email protected] Servicios de Calificación de Riesgos Calificación de Riesgo Tecnológico Basado en nuestro servicio de análisis de vulnerabilidades internas / externas sobre los diferentes elementos tecnológicos visibles en cada perspectiva, y adicionalmente sobre las aplicaciones web que se encuentren publicadas. Este servicio analiza los resultados de las pruebas tecnológicas realizadas sobre los elementos solicitados, efectúa una valoración y calificación del riesgo tecnológico asociado y emite dos tipos de reportes: el reporte técnico, con el detalle de los riesgos identificados y su recomendación de mitigación así como anexos representativos de los mismos con presentación estadística y además un reporte de calificación de riesgo en tres niveles, sin detalles técnicos que sirve como soporte para presentaciones ejecutivas o rendición de cuentas. La calificación de riesgo es emitida por AntiFraude®. Calificación de Riesgo en Procesos El servicio de calificación de riesgo en procesos, busca establecer la exposición al fraude derivado de la utilización de nuevas tecnologías (hardware, software o comunicaciones), a partir de las vulnerabilidades relacionadas con seguridad de la información existentes en éstos procesos específicos de la organización y que puedan afectarle severamente llegando a la posibilidad de ser víctimas de actividades ilícitas. Generalmente estas auditorías se efectúan sobre otros procesos importantes de la cadena de valor, especialmente en aquellos que involucran transacciones financieras utilizando nuevas tecnologías (bancas electrónicas y/o pagos en línea), o bien procesos de los que dependen asuntos vitales (sistemas hospitalarios, por ejemplo), de intercambio electrónico de documentos (cadenas de producción / despacho), de infraestructura crítica (servicios públicos), de manufactura automatizada (sector industrial) o de seguridad nacional. [email protected] / [email protected] www.antfraude.co / www.antifraude.org Bogotá, Colombia - Av Cra 9 # 113 - 52 ofc. 401 PBX (571) 7429040 Móvil (57 318) 7358018 Ayudamos a prevenir, detectar e investigar el fraude Portafolio de Servicios de Seguridad AntiFraude® El servicio se lleva a cabo en modo de auditoría, efectuando entrevistas con diferentes personas involucradas en el proceso y de ser necesario una revisión técnica; siguiendo un marco metodológico basado en las buenas prácticas de los diversos estándares internacionales. Todos los análisis tienen en cuenta la incidencia de las prácticas de seguridad de la información, la seguridad física, las personas, la tecnología y el flujo del proceso analizado para establecer la calificación de riesgo y para definir los riesgos identificados, las oportunidades de mejora y las recomendaciones para mitigarlos. Calificación de Riesgo basado en Fuentes Públicas Este servicio utiliza nuestras fuentes de inteligencia informática (ver servicio de inteligencia informática) para proporcionar una calificación de riesgo, basada en recolección de información de individualización y emitiendo una calificación basada en el análisis de dicha información. Este servicio es particularmente útil para verificación de datos, antecedentes y conocimiento de las relaciones que circundan a una entidad particular (persona, máquina, email. Etc). Servicios de Prevención de Fraudes Diseño de Ambientes de Control Este servicio contempla los siguientes aspectos: - Identificación de los procesos más propensos al fraude Revisión tridimensional – Evaluación del riesgo de fraude sobre los procesos identificados (proceso, personas y tecnología) Identificación de los puntos de control existentes Definición de la brecha con los puntos de control deseables Definición de los aspectos relacionados con el ambiente de control: o Procedimientos AntiFraude o Compromiso de la Gerencia o Código de conducta o Planeación de investigaciones o indicadores y metas Este servicio se lleva a cabo en formato de auditoría, donde previamente se define de común acuerdo el (los) proceso(s) a auditar, el marco de referencia para su auditoria y la expectativa del auditado o de la parte interesada. Igualmente se entrega un checklist de documentos que deben estar disponibles para revisión de la auditoria. Entrevistas y pruebas técnicas complementarias pueden ser incluidas de acuerdo con las necesidades de la revisión y/o expectativas de las partes interesadas. Posterior a la visita de auditoría, se llevan a cabo las pruebas técnicas (si aplican) a que haya lugar y se emite el informe correspondiente. Este servicio permitirá identificar de manera temprana y oportuna posibles riesgos de seguridad de la información, fraudes relacionados con dichos riesgos y/o exposición a riesgo de siniestro de pólizas de seguro y de esta manera [email protected] / [email protected] www.antfraude.co / www.antifraude.org Bogotá, Colombia - Av Cra 9 # 113 - 52 ofc. 401 PBX (571) 7429040 Móvil (57 318) 7358018 Ayudamos a prevenir, detectar e investigar el fraude Portafolio de Servicios de Seguridad AntiFraude® prevenir que sucedan fraudes al facilitarle la toma de decisiones y la priorización en el tratamiento de los riesgos identificados. Este servicio se basa en la metodología descrita por la Asociación de Examinadores de Fraude Certificados (ACFE) Servicios de Investigaciones Digitales Inteligencia Informática Identificamos e individualizamos elementos del mundo real que se encuentren en el plano informático, por ejemplo identificar el dueño de una dirección de correo electrónico a partir de las relaciones que existan de dicho correo en el mundo digital (perfiles de Facebook, twitter, redes sociales, publicaciones en línea, etc). Así mismo podemos conocer cómo está relacionado algún elemento real en la internet y con otras personas. Este servicio permite conocer el perfil de algún individuo, empresa, producto, marca, o elemento virtual y establecer cómo se encuentra relacionados con otros y/o qué se dice de ellos en la Red. Para la ejecución de este servicio nos basamos en un conjunto de herramientas de última tecnología que luego de correlacionarlas nos permite efectuar operaciones de unión e intersección de resultados, filtrando los más relevantes y obteniendo información digital de fuentes públicas relacionadas con la búsqueda inicial. Servicios de Respuesta a Incidentes Ofrecemos el servicio de primer respondiente técnico, en el cual se establecen los acuerdos de nivel de servicio (tiempo de respuesta estimado) para que frente a cualquier incidente usted tenga la asesoría experta de un investigador que le ayudará a proceder en la forma correcta de atender el evento, incluyendo la toma de imágenes forenses si resulta necesario, con la cadena de custodia correspondiente para posterior análisis de evidencias digitales. El valor de este servicio es de $1.300.000 por evento. No incluye valor de medios de almacenamiento necesarios para la toma de imágenes cuando sea necesario. Este servicio está incluido dentro de los servicios que presta el acompañamiento técnico en seguridad propuesto más atrás. Informática Forense Nuestros servicios de análisis forense tienen las siguientes características: - Elaboración de la imagen forense del medio original con cadena de custodia conforme con la ley 906 de 2004 (Sistema Penal Acusatorio), si no ha sido tomada por un primer respondiente o por el acompañamiento técnico De forma opcional, <EL CLIENTE> puede tomar las imágenes de los medios originales y entregar una copia para análisis, con la correspondiente cadena de custodia Control de integridad de los medios originales, con la imagen tomada y/o con las copias de análisis proporcionadas Traslado de la copia de análisis a laboratorio [email protected] / [email protected] www.antfraude.co / www.antifraude.org Bogotá, Colombia - Av Cra 9 # 113 - 52 ofc. 401 PBX (571) 7429040 Móvil (57 318) 7358018 Ayudamos a prevenir, detectar e investigar el fraude Portafolio de Servicios de Seguridad AntiFraude® - Análisis de tiempos de actividad (líneas de tiempo) de forma que se pueda establecer la actividad del sistema en un momento específico Análisis de entropía, para detectar archivos contenidos dentro de otros archivos y/o archivos cifrados Análisis de malware, identificación de virus, troyanos y en general de actividad considerable como maliciosa dentro del sistema Análisis de correos electrónicos (cuando existen) para establecer el intercambio de información utilizando clientes locales de correo Análisis de hábitos de navegación, para identificar el tipo de páginas más frecuentadas por los usuarios del equipo analizado Análisis por palabras clave, para identificar rastros de actividad coincidente con palabras clave que sean relevantes para la investigación Análisis especiales solicitados por <EL CLIENTE>, para determinar la existencia o no de actividad o patrones coincidentes con situaciones específicas que sean de interés para <EL CLIENTE> Ajuste de Siniestros / Investigaciones Digitales Este servicio se basa en la investigación e integración completa del equipo de trabajo de AntiFraude® desde el inicio del incidente, incluyendo la primera respuesta al mismo y procesando las evidencias digitales conforme vayan siendo identificadas, de acuerdo con las características del servicio de Informática Forense y de Respuesta a incidentes. En este caso, se aborda completamente la investigación y cuando se trata de ajuste de siniestros para compañías de seguros, se tratan los protocolos internos específicos definidos para tal efecto. Servicios de E-Discovery Nuestros servicios de e-discovery utilizan tecnologías especializadas como ViewPoint y AccessData para efectuar minería de datos sobre computadores, celulares o redes de datos y encontrar patrones de actividades ilícitas, palabras específicas o eventos disparadores que puedan convertirse en evidencia de carácter informático. Este servicio es particularmente útil para profesionales del derecho o investigadores especialistas que requieran buscar datos específicos entre múltiples fuentes potenciales de evidencia, para correlacionar eventos que configuren un patrón de conducta específico, para encontrar relaciones entre elementos virtuales como correos electrónicos. Servicios de Protección de VIPs Gestión de la Reputación en Línea Basados en nuestro servicio de inteligencia informática, podemos establecer la reputación en línea (buscadores, redes sociales, etc) de una persona, producto, compañía o marca) y trazar la ruta de acción para gestionar de una mejor forma dicha reputación ayudando de una forma totalmente legitima a cambiar la percepción en línea de dicha persona, producto, compañía o marca. [email protected] / [email protected] www.antfraude.co / www.antifraude.org Bogotá, Colombia - Av Cra 9 # 113 - 52 ofc. 401 PBX (571) 7429040 Móvil (57 318) 7358018 Ayudamos a prevenir, detectar e investigar el fraude Portafolio de Servicios de Seguridad AntiFraude® Protección Digital Nuestro servicio permite a personajes VIP (figuras públicas, políticos, diplomáticos, personas con posición de poder, presidentes de corporaciones, etc) blindar completamente la seguridad de su vida digital, sin tener que cambiar drásticamente sus hábitos normales, de forma que no resulten víctimas de interceptaciones, seguimientos, fugas de información o cualquier otro tipo de actividad ilegitima que atente contra la confidencialidad, la integridad o la disponibilidad de aquellos activos que por su posición deben manejar. Este servicio contempla la revisión completa del entorno del VIP, para identificar los elementos informáticos que utiliza y cómo lo hace, en situaciones corporativas y personales identificando sus prácticas normales y elaborando el plan de acción para protegerles. Servicios de Seguridad de la Información Acompañamiento Técnico en Seguridad Un profesional disponible siempre, en modalidad 5x8 cuando usted lo necesite, para atender sus requerimientos de seguridad. Este profesional no solo podrá ayudar en labores técnicas relacionadas con los requerimientos de seguridad de la información, sino también actuará como primer respondiente en caso de un incidente de seguridad. No requiere espacio de trabajo dentro de las instalaciones de la entidad. *Requiere contratación anual. Consultor Especializado en Seguridad de la Información Un profesional disponible siempre, en modalidad 5x8 cuando usted lo necesite, para atender sus requerimientos de seguridad. Este profesional podrá ayudar en labores estratégicas de gestión de seguridad de la información, cuenta con certificaciones acordes a las diferentes necesidades: ISO 27001, Continuidad de Negocio, Concientización en seguridad y otras especialidades relacionadas. *Requiere contratación anual. Oficial de Seguridad de la Información en Outsourcing Un profesional experimentado en gestión de seguridad de la información, para la ejecución de las siguientes tareas: - Liderar y garantizar el cumplimiento de las responsabilidades definidas en el perfil de cargo de Oficial de Seguridad de la Organización Transferencia de conocimiento de todas las actividades al equipo de trabajo designado por la organización Reuniones de seguridad de la información con el equipo técnico y estratégico que defina la organización, por lo menos una vez cada quince días Citar, liderar y participar de los Comités de seguridad al menos una vez al mes [email protected] / [email protected] www.antfraude.co / www.antifraude.org Bogotá, Colombia - Av Cra 9 # 113 - 52 ofc. 401 PBX (571) 7429040 Móvil (57 318) 7358018 Ayudamos a prevenir, detectar e investigar el fraude Portafolio de Servicios de Seguridad AntiFraude® - Citar, preparar en conjunto con el equipo de trabajo y participar de la revisión por gerencia del sistema de gestión de seguridad de la información al menos una vez al año Coordinar las actividades relacionadas con seguridad de la información, que debe desarrollar el equipo de TI y garantizar su cumplimiento Mantener actualizada y gestionada la matriz de riesgos de seguridad de la información y desarrollar y proponer nuevos controles requeridos para la mitigación de riesgos de acuerdo con la metodología de riesgos Llevar a cabo al menos una auditoria interna anual a la gestión de seguridad de la información Presentar los indicadores a su alcance y gestionar los que se encuentren fuera de él para el sistema de gestión de seguridad de la información Proponer las mejoras a la seguridad de la información, que considere necesarias. Mejorar continuamente los procesos actuales buscando asegurar los activos de información *Requiere contratación anual. Análisis de Vulnerabilidades Análisis básico automatizado de las vulnerabilidades internas / externas sobre las diferentes IPs visibles en cada perspectiva, y adicionalmente sobre las aplicaciones web que se encuentren publicadas, de acuerdo con la siguiente tabla de costos. Estos análisis son 100% automáticos, basados en las herramientas QUALYS, APPSCAN, OPENVAS, NESSUS y/o cualquier otra disponible. No incluyen verificación de falsos negativos / positivos. El análisis de vulnerabilidades es un servicio apropiado para cumplimiento de normatividad y verificación de seguridad continua en un periodo de tiempo (por ejemplo verificación de tendencias anuales). Cada prueba de verificación sería una prueba adicional nueva. Existen opciones de análisis de vulnerabilidad ilimitadas por año, basados en la plataforma Express® de Qualys®. SI le interesa esta opción, contáctenos a través de [email protected] Ethical Hacking Tenemos opciones de ethical hacking tradicional para usted (Esta opción de Ethical hacking es la que se ha venido trabajando con <EL CLIENTE> hasta ahora) Ethical Hacking Externo El servicio de pruebas desde Internet, busca determinar los problemas de seguridad informática existentes y que sean visibles desde cualquier ubicación en Internet y que en caso de ser explotados o aprovechados podrían poner en riesgo la normal operación del negocio de <EL CLIENTE> y sus aplicaciones web. La orientación de las pruebas siempre está alineada con la lógica del negocio, de manera que al identificar los riesgos, el peso de los mismos sea mayor para aquellos que impactan más gravemente la operación del negocio, facilitando la generación de un plan de inversión priorizado de acuerdo a las necesidades reales de continuidad. Tareas a ejecutar durante el desarrollo de esta etapa: Durante el desarrollo de esta etapa, se definirán aspectos como: [email protected] / [email protected] www.antfraude.co / www.antifraude.org Bogotá, Colombia - Av Cra 9 # 113 - 52 ofc. 401 PBX (571) 7429040 Móvil (57 318) 7358018 Ayudamos a prevenir, detectar e investigar el fraude Portafolio de Servicios de Seguridad AntiFraude® - Escenarios: El escenario aplicable para estas pruebas, contando con información básica de la red (por lo menos el dominio de Internet o las direcciones IP autorizadas). - Objetivos a evaluar (aquellos que son visibles desde Internet y que pueden afectar el negocio). - Restricciones (técnicas, administrativas o logísticas). De la misma manera, los tipos de pruebas que se realizarán durante esta etapa, están enmarcadas (pero no limitadas) en: - Pruebas de detección, validación y explotación de problemas de seguridad en servidores (Unix, Windows), mecanismos de seguridad (Firewalls, IDS, IPS, VPN), elementos de comunicación (enrutadores), servicios comunes (web, correo, DNS, POP3, etc). - Ataques comunes enfocados a protocolos (TCP Hijacking, IP Spoofing, ARP Spoofing, Sniffing, DoS – de común acuerdo, SNMP Testing, etc), acceso remoto (Wardialing, PBX Testing, RAS Server Testing) - Ataques enfocados a servicios comunes, tales como WEB (Cross Site Scripting, CGI/ASP/PHP scanning, command execution), Correo. - Igualmente, se desarrolla un set de pruebas enfocadas especialmente a las aplicaciones transaccionales de Internet, buscando determinar los problemas de seguridad informática existentes que puedan ser aprovechados por cualquiera mediante el acceso no autorizado o el escalamiento de privilegios en aplicaciones propietarias, poniendo en riesgo la integridad de la información y la normal operación del negocio. Estas pruebas se centran en: La posibilidad de acceder de manera no autorizada al aplicativo La revisión de los mecanismos de autenticación El manejo de sesiones La posibilidad de inyección de código La manipulación de parámetros La ejecución de pruebas de stress La identificación de puntos de aborto de la aplicación El escalamiento de privilegios. La suplantación de credenciales. La confidencialidad en el manejo de datos. La manipulación de salidas o resultados. Los mecanismos de Autenticación. La información no advertida. Resultados esperados Como resultado de estas pruebas, se podrá determinar el nivel de seguridad de los elementos involucrados. Se tendrá entre otros los siguientes aspectos: - La información no advertida. [email protected] / [email protected] www.antfraude.co / www.antifraude.org Bogotá, Colombia - Av Cra 9 # 113 - 52 ofc. 401 PBX (571) 7429040 Móvil (57 318) 7358018 Ayudamos a prevenir, detectar e investigar el fraude Portafolio de Servicios de Seguridad AntiFraude® - Resultados de la ejecución de herramientas especializadas en pruebas de seguridad. - Resultados de las pruebas manuales realizadas (p.e: usuarios, contraseñas, información crítica, etc.). - En caso de tener acceso a un servidor, aplicación o en general cualquier elemento probado, se presentara el detalle de la manera que se logro vulnerar el elemento. - Se evaluaran los falsos positivos, para determinar los problemas reales existentes en cada uno de los elementos. - Toda la documentación relacionada, donde se incluye, los problemas encontrados, el riesgo asociado y la recomendación para la solución del mismo. Ethical Hacking Interno El servicio de pruebas de Intranet o interna, busca determinar los problemas de seguridad informática existentes y que puedan ser aprovechados por cualquier persona (empleado o no) desde el interior de la red corporativa, o cualquiera de sus redes asociadas poniendo en riesgo la normal operación del negocio. En este caso, las pruebas ofrecidas están directamente relacionadas con los elementos que intervienen en la operación de <EL CLIENTE>. La orientación de las pruebas siempre está alineada con la lógica del negocio, de manera que al identificar los riesgos, el peso de los mismos sea mayor para aquellos que impactan más gravemente la operación del negocio, facilitando la generación de un plan de inversión priorizado de acuerdo a las necesidades reales de continuidad. Tareas a ejecutar durante el desarrollo de esta etapa: Para la ejecución de este servicio, se realiza una reunión inicial donde los consultores de ANTIFRAUDE® en conjunto con el equipo de proyecto por parte de <EL CLIENTE> definen aspectos relacionados con: - Escenarios: El escenario aplicable para estas pruebas, contando con información básica de la red (por lo menos el dominio de Internet o las direcciones IP autorizadas). - Objetivos a evaluar (aquellos que son visibles desde Internet y que pueden afectar el negocio). - Restricciones (técnicas, administrativas o logísticas). De la misma manera, los tipos de pruebas que se realizarán durante esta etapa, están enmarcadas (pero no limitadas) en: - Pruebas de detección, validación y explotación de problemas de seguridad en servidores (Unix, Windows), mecanismos de seguridad (Firewalls, IDS, IPS, VPN, Antivirus), elementos de comunicación (enrutadores, switches, etc), servicios comunes (web, correo, DNS, POP3, etc), bases de datos, impresoras, etc. - Ataques comunes enfocados a protocolos (TCP Hijacking, IP Spoofing, ARP Spoofing, Sniffing, DoS - de común acuerdo, SNMP Testing, etc). [email protected] / [email protected] www.antfraude.co / www.antifraude.org Bogotá, Colombia - Av Cra 9 # 113 - 52 ofc. 401 PBX (571) 7429040 Móvil (57 318) 7358018 Ayudamos a prevenir, detectar e investigar el fraude Portafolio de Servicios de Seguridad AntiFraude® - Ataques enfocados a servicios comunes, tales como WEB (Cross Site Scripting, CGI/ASP/PHP scanning, etc ), CORREO (SMTP Mail relay, Information Disclosure, etc), DNS (DNS Poisoning, DNS Spoofing, etc), entre otros. - Ataques orientados a usuarios (backdoors, caballos de Troya, virus, etc) - Ataques orientados a redes Wireless (EMR testing, 802.11q Testing, Wireless handheld Testing, Wireless Diving, etc). Adicionalmente a lo anterior, se realizara una auditoria de contraseñas, con el fin de determinar el nivel de cumplimiento de los usuarios con respecto a las políticas establecidas para este aspecto. Resultados esperados Como resultado de esta etapa, se podrá determinar el nivel de seguridad de los elementos involucrados. Se tendrá entre otros los siguientes aspectos: - Resultados de la ejecución de herramientas especializadas en pruebas de seguridad. - Resultados de las pruebas manuales realizadas (p.e: usuarios, contraseñas, información critica, etc.). - En caso de tener acceso a un servidor, aplicación o en general cualquier elemento probado, se presentara el detalle de la manera que se logro vulnerar el elemento. - Se evaluaran los falsos positivos, para determinar los problemas reales existentes en cada uno de los elementos. - Toda la documentación relacionada, donde se incluye, los problemas encontrados, el riesgo asociado y la recomendación para la solución del mismo. Ethical Hacking Aplicaciones (internas o externas). El servicio de pruebas de Aplicaciones, busca determinar los problemas de seguridad informática existentes que puedan ser aprovechados por cualquiera mediante el acceso no autorizado o el escalamiento de privilegios en aplicaciones propietarias, poniendo en riesgo la integridad de la información y la normal operación del negocio La orientación de las pruebas siempre está alineada con la lógica del negocio, de manera que al identificar los riesgos, el peso de los mismos sea mayor para aquellos que impactan más gravemente la operación del negocio, facilitando la generación de un plan de inversión priorizado de acuerdo a las necesidades reales de continuidad. Tareas a ejecutar durante el desarrollo de esta etapa: En esta fase se ejecutan las pruebas que permitan identificar problemas de seguridad informática sobre el aplicativo. Estas pruebas incluyen: - Posibilidad de acceder de manera no autorizada al aplicativo. - Revisión de los mecanismos de autenticación. [email protected] / [email protected] www.antfraude.co / www.antifraude.org Bogotá, Colombia - Av Cra 9 # 113 - 52 ofc. 401 PBX (571) 7429040 Móvil (57 318) 7358018 Ayudamos a prevenir, detectar e investigar el fraude Portafolio de Servicios de Seguridad AntiFraude® - Manejo de sesiones. - Posibilidad de inyección de código. - Manipulación de parámetros. - Pruebas de stress. - Identificación de puntos de aborto de la aplicación. - Escalamiento de privilegios. - Suplantación de credenciales. - Confidencialidad en el manejo de datos. - Manipulación de salidas o resultados Para la ejecución de estas pruebas, proponemos que éstas se realicen desde diferentes perfiles de usuario: - Un primer escenario, estaría enfocado a realizar un juego de pruebas sin usuario válido (orientadas a violar los mecanismos de autenticación y la confidencialidad en el manejo de los datos). - Un segundo escenario, estaría enfocado a realizar un juego de pruebas con un usuario del perfil más bajo (para identificar posibilidades de escalamiento de privilegios). - Un tercer escenario, estaría enfocado a realizar un juego de pruebas con un usuario privilegiado (para identificar problemas relacionados propiamente con la operación de la aplicación, como manipulación de parámetros, resultados, salidas, sesiones, etc.) Resultados esperados Como resultado de esta etapa, se podrá determinar el nivel de seguridad de los elementos involucrados. Se tendrá entre otros los siguientes aspectos: - Resultados de la ejecución de herramientas especializadas en pruebas de seguridad. - Resultados de las pruebas manuales realizadas (p.e: usuarios, contraseñas, información crítica, etc.). En caso de tener acceso a un servidor, aplicación o en general cualquier elemento probado, se presentara el detalle de la manera que se logro vulnerar el elemento. Se evaluaran los falsos positivos, para determinar los problemas reales existentes en cada uno de los elementos. Toda la documentación relacionada, donde se incluye, los problemas encontrados, el riesgo asociado y la recomendación para la solución del mismo. [email protected] / [email protected] www.antfraude.co / www.antifraude.org Bogotá, Colombia - Av Cra 9 # 113 - 52 ofc. 401 PBX (571) 7429040 Móvil (57 318) 7358018 Ayudamos a prevenir, detectar e investigar el fraude Portafolio de Servicios de Seguridad AntiFraude® Ethical Hacking Garantizado Tenemos una opción que llamamos ethical Hacking garantizado: si no lo vulneramos le devolvemos su dinero. Este ethical hacking no está delimitado por cantidad de direcciones IP o por perspectiva. Se toma la entidad de manera completa, como un todo bajo el concepto de “la seguridad existe o no existe, pero no hay términos medios”. Este análisis es muy útil para compañías cuyo interés se centra no solo en la seguridad de un sistema o aplicación específico sino en general en la identificación de puntos vulnerables a cualquier nivel de la organización: procesos, personas, tecnología, seguridad física etc. Este ethical hacking incluye todo lo que puede requerir, desde hacking externo, interno, ingeniería social y más, con el único objetivo de vulnerar la entidad. Si logra sobrevivir este análisis sin hallazgos de vulnerabilidades comprobables y explotables, de criticidad alta contra los listados de vulnerabilidades internacionales (CVE, OWASP, etc), le devolvemos hasta el 80% de su dinero. * El porcentaje de devolución se define concertadamente entre las partes previa contratación caso por caso, depende de los gastos administrativos de AntiFraude® y la complejidad del proyecto. * La definición de tiempos de ejecución de las actividades será concertada con el cliente y dependerá exclusivamente del tamaño de la organización a evaluar. * AntiFraude® se reserva el derecho de ofertar este servicio particularmente a ciertos clientes o bajo circunstancias específicas. Aseguramiento El aseguramiento está orientado a acciones correctivas que se deben realizar sobre la configuración de elemento que vaya a ser asegurado (servidor, servicio, base de datos, etc). - En una primera instancia se generan las guías / checklists de configuraciones seguras que deberán ser implantadas por cada elemento. - Posteriormente se diseña el procedimiento de aseguramiento con todas las recomendaciones que se deben implementar, para la evaluación por parte del Administrador del servidor - Una vez se haya verificado que la compatibilidad de los pasos del aseguramiento no interfiere con las aplicaciones instaladas en el servidor se diseña el Script de aseguramiento, junto con un documento que contiene el procedimiento manual de los pasos que ejecuta el Script. - Posteriormente se genera el informe Final, con problemas encontrados, problemas mitigados, problemas no mitigados, y recomendaciones adicionales. - Con la información recolectada se complementa el checklist de aseguramiento, para proceder con su ejecución llevando un detallado registro de las acciones realizadas para poder replicar / retroceder el proceso en cualquier punto del mismo. Este checklist es realizado teniendo en cuenta las buenas prácticas de seguridad informática mundialmente aceptadas. - Una vez se ha ejecutado todo el proceso, se llevan a cabo las pruebas de aceptación de servicio, que permiten establecer al administrador que posterior al aseguramiento, el elemento sigue presentando su funcionalidad sin problema alguno. [email protected] / [email protected] www.antfraude.co / www.antifraude.org Bogotá, Colombia - Av Cra 9 # 113 - 52 ofc. 401 PBX (571) 7429040 Móvil (57 318) 7358018 Ayudamos a prevenir, detectar e investigar el fraude Portafolio de Servicios de Seguridad AntiFraude® Las actividades de aseguramiento estarán dirigidas a: - Corregir problemas de seguridad existentes en la plataforma - Configurar de manera adecuada los diferentes parámetros de seguridad de los servidores - Recomendar los últimos parches de seguridad liberados por el fabricante - Configurar de manera segura, permisos, servicios y usuarios de los diferentes servidores con el fin de minimizar riesgos asociados a los mismos. Finalmente como resultado de las actividades anteriores, se presenta un documento donde se presentaran los cambios realizados y no realizados. Servicios de Revisión de Código Nuestro servicio de revisión de código incluye la revisión de arquitectura para identificar las posibles vulnerabilidades, fallas y/o oportunidades de mejoramiento asociados con la arquitectura del aplicativo. Adicionalmente incluye la revisión de diseño y código fuente ejecutando pruebas automáticas y desarrollo de pruebas de unidad; donde se pretende analizar de forma automática la totalidad del código fuente en busca de patrones de vulnerabilidad conocidos y diseñar scripts que sirvan para probar los escenarios identificados y casos de uso de forma automática y un Análisis manual; donde se realizará una revisión manual línea por línea del código fuente donde se identificarán fallas o posibles vulnerabilidades sobre la aplicación. Actualmente prestamos este servicio sobre las siguientes tecnologías estándar: Lenguaje ASP .Net (cualquier lenguaje) Java PHP JavaScript Python Bases de datos MS SQL Server Conectores BD Todos Modelos de interacción TCP/IP MySQL Shared Memory Postgres Oracle DB2 WebServices (SOAP) Bases de datos HTTP Persistente en disco (XML, txt, etc.) Modelos SOA SQLlite PL/SQL Los costos de este servicio se definen por la cantidad de ELOC (Effective Lines of Code) es decir la cantidad de líneas efectivas de código sin tomar en cuenta líneas en blanco, corchetes, separadores de código, inclusión de librerías, etc). Servicios de Consultoría Especializada en Seguridad de la Información Todos nuestros servicios de consultoría especializada, pueden adquirirse por bodega de horas, con valores por hora, dia, semana o mes. Estos valores pueden cambiar de acuerdo a condiciones específicas de cada proyecto. Entre los servicios que ofrecemos en esta modalidad están los siguientes: [email protected] / [email protected] www.antfraude.co / www.antifraude.org Bogotá, Colombia - Av Cra 9 # 113 - 52 ofc. 401 PBX (571) 7429040 Móvil (57 318) 7358018 Ayudamos a prevenir, detectar e investigar el fraude Portafolio de Servicios de Seguridad AntiFraude® - Information Security Coaching, talleres de transferencia de conocimiento y talleres de seguimiento sobre objetivos y avances en seguridad de la información Servicios de Diagnóstico de Seguridad en Procesos: análisis GAP, auditorias de procesos, análisis de riesgos, etc. Consultorías en sistemas de gestión de seguridad, ISO 27001, cumplimiento de estándares. Desarrollo de planes de concientización (No incluye el valor de las piezas de contenido necesarias, que deberán se cotizadas de manera independiente). Capacitaciones especializadas en servicios, productos o técnicas de seguridad de la información Para la ejecución de estos servicios se elabora de común acuerdo un plan que detalla los objetivos, tiempos, entregables y recursos requeridos de acuerdo con las necesidades particulares. Condiciones de Uso de la Bodega de Horas y SLA La disponibilidad del servicio tendrá máximo un (1) año de vigencia dependiendo siempre de la disponibilidad de horas restantes en la Bodega para el desarrollo del mismo. Nota: Los servicios incluidos en la Bodega de horas estarán sujetos a la disponibilidad existente en la misma. En caso de requerirse horas adicionales a las contratadas para finalizar un servicio específico, éstas deberán ser adquiridas de acuerdo con las tablas anteriormente especificadas. Solicitud de Horas: <EL CLIENTE> podrá solicitar la utilización de sus horas mediante una programación de proyecto al inicio de la Bodega de Horas, donde se establecerán las actividades de mayor interés para la compañía y la utilización del porcentaje mínimo mensual de horas estipulado. Para las horas no programadas, se podrá solicitar la presencia del consultor con dos (2) días hábiles de antelación indicando el propósito de la solicitud. En caso de requerir un servicio particular, éste se podrá coordinar sin que las actividades de planeación del mismo descuenten horas de la Bodega, pues éstas últimas serán sólo de servicio efectivo y documentación. Tiempo de Respuesta: Cuando la solicitud se haga con los dos (2) días hábiles de antelación requeridos, AntiFraude® podrá en la medida de las posibilidades asumir ese plazo como tiempo de respuesta máximo. En caso de situaciones logísticas que impidan el cumplimiento de ese plazo, la respuesta al mismo no se podrá extender por más de tres (3) días hábiles a partir de la solicitud. Ventajas de la Bodega de Horas - Permite el desarrollo de proyectos prioritarios - Disponibilidad de utilización de las horas de acuerdo a las necesidades particulares en proyectos de tecnología. - No tiene restricciones en la cantidad de consultores que participan en un proyecto. No obstante, cada consultor descuenta sus horas de la Bodega de Horas adquirida (esto es, si tres consultores simultáneamente trabajan una hora en un proyecto específico, se darán por utilizadas tres horas de la Bodega) - Si hacen falta horas antes de terminar el periodo contractual es posible adquirir horas adicionales - La Bodega de horas no presenta restricciones en materia de actividades o servicios, siempre y cuando éstos estén relacionados con seguridad informática y se tenga la capacidad por las partes para ejecutarlo - Proporciona una total libertad y confiabilidad a <EL CLIENTE> para contar con un asesor en seguridad informática cuando lo requiera - El control de utilización de horas se llevará a cabo mediante un mecanismo acordado entre <EL CLIENTE> y ANTIFRAUDE®. [email protected] / [email protected] www.antfraude.co / www.antifraude.org Bogotá, Colombia - Av Cra 9 # 113 - 52 ofc. 401 PBX (571) 7429040 Móvil (57 318) 7358018 Ayudamos a prevenir, detectar e investigar el fraude Portafolio de Servicios de Seguridad AntiFraude® Proyectos especiales Estamos en capacidad de atender sus proyectos especiales de seguridad. Teniendo en cuenta que se trata de situaciones que pueden tener características especiales de ejecución, que pueden involucrar el desarrollo de software a la medida o la inclusión de personal especializado, lo invitamos a cotizar caso por caso estos proyectos solicitando una reunión de levantamiento de información totalmente gratis para la posterior cotización a través de [email protected]. Servicios de Concientización y Capacitación Efectuamos los planes de concientización en seguridad de la información, teniendo en cuenta la metodología HIM-IS: Concientización Comportamiento • Estás consciente de alguna situación particular pero no haces nada al respecto Cultura • Además de estar consciente, ejecutas actividades consistentes con dicha conciencia • Las actividades conscientes se multiplican a todo un grupo de población y son adoptadas por su gran mayoría HIM-IS Nuestra Metodología propende por llevar a los usuarios de la mano en un proceso que permita convertir la concientización en comportamiento y multiplicar el comportamiento para convertirlo en cultura. Creemos firmemente que un contenido de alto impacto e interacción es más eficiente que horas y horas de charlas magistrales, por lo cual hemos desarrollado el método “drip irrigation” que busca enviar a las personas más contenido, más seguido y más divertido, obteniendo como resultado una muy alta recordación de los mensajes. Nos basamos en un concepto muy sencillo: [email protected] / [email protected] www.antfraude.co / www.antifraude.org Bogotá, Colombia - Av Cra 9 # 113 - 52 ofc. 401 PBX (571) 7429040 Móvil (57 318) 7358018 Ayudamos a prevenir, detectar e investigar el fraude Portafolio de Servicios de Seguridad AntiFraude® El Mensaje El Contenido El Medio La Diferencia Los mensajes deben ser lo más concisos, claros, directos y sencillos posible; se deben utilizar múltiples medios de difusión (tecnologías innovadoras, marketing viral, BTL, marketing móvil, etc.) y el contenido debe ser de alto impacto y muy entretenido para generar la expectativa en el receptor sobre cuál será el siguiente contenido a recibir. En AntiFraude® ofrecemos todo lo necesario: el plan de concientización, los temas, los medios y los contenidos. Adicionalmente tenemos un amplio portafolio de capacitación en las siguientes áreas: - Seguridad de la Información Ethical Hacking Aseguramiento de Servidores Prevención de Fraude Investigaciones Digitales ISO 27001 Inteligencia Informática Entre otros. [email protected] / [email protected] www.antfraude.co / www.antifraude.org Bogotá, Colombia - Av Cra 9 # 113 - 52 ofc. 401 PBX (571) 7429040 Móvil (57 318) 7358018