Portafolio Servicios de Seguridad

Anuncio
Portafolio Servicios de Seguridad
Prevención de Fraude
Detección de Fraude
Inspecciones de Procesos,
Tecnología, Personas y
Lugares, Ethical hacking,
Concientización y Capacitación
en Seguridad
Calificación de Riesgos,
Ambientes de control, basados
en procesos, tecnología,
personas y lugares, auditorias
de identificación de prácticas
Investigación de Fraude
Análisis de Cómputo Forense
Respuesta a Incidentes,
Prevención de Fuga de
Información, Ajuste de
Siniestros, Seguridad de VIPs
Information Security Coaching
Identificamos sus habilidades y particularidades para definir una estrategia de seguridad alcanzable y sostenible
[email protected] / [email protected]
www.antfraude.org / www.antifraude.co
Bogotá, Colombia - Av Cra 9 # 113 - 52 ofc. 401 PBX (571) 7429040 Móvil (57 318) 7358018
Ayudamos a prevenir, detectar e investigar el fraude
Portafolio de Servicios de Seguridad AntiFraude®
Tabla de contenido
Generalidades del Servicio ............................................................................................................................................................ 4
Servicios de Calificación de Riesgos .............................................................................................................................................. 4
Calificación de Riesgo Tecnológico ........................................................................................................................................... 4
Calificación de Riesgo en Procesos ........................................................................................................................................... 4
Calificación de Riesgo basado en Fuentes Públicas................................................................................................................. 5
Servicios de Prevención de Fraudes ............................................................................................................................................. 5
Diseño de Ambientes de Control .............................................................................................................................................. 5
Servicios de Investigaciones Digitales........................................................................................................................................... 6
Inteligencia Informática............................................................................................................................................................. 6
Servicios de Respuesta a Incidentes ......................................................................................................................................... 6
Informática Forense................................................................................................................................................................... 6
Ajuste de Siniestros / Investigaciones Digitales....................................................................................................................... 7
Servicios de E-Discovery ............................................................................................................................................................ 7
Servicios de Protección de VIPs .................................................................................................................................................... 7
Gestión de la Reputación en Línea ........................................................................................................................................... 7
Protección Digital ....................................................................................................................................................................... 8
Servicios de Seguridad de la Información .................................................................................................................................... 8
Acompañamiento Técnico en Seguridad.................................................................................................................................. 8
Consultor Especializado en Seguridad de la Información ....................................................................................................... 8
Oficial de Seguridad de la Información en Outsourcing.......................................................................................................... 8
Análisis de Vulnerabilidades...................................................................................................................................................... 9
Ethical Hacking ........................................................................................................................................................................... 9
Ethical Hacking Externo ......................................................................................................................................................... 9
Ethical Hacking Interno ....................................................................................................................................................... 11
Ethical Hacking Aplicaciones (internas o externas). .......................................................................................................... 12
Ethical Hacking Garantizado ............................................................................................................................................... 14
Aseguramiento ......................................................................................................................................................................... 14
Servicios de Revisión de Código.............................................................................................................................................. 15
Servicios de Consultoría Especializada en Seguridad de la Información ............................................................................. 15
Proyectos especiales................................................................................................................................................................ 17
[email protected] / [email protected]
www.antfraude.co / www.antifraude.org
Bogotá, Colombia - Av Cra 9 # 113 - 52 ofc. 401 PBX (571) 7429040 Móvil (57 318) 7358018
Ayudamos a prevenir, detectar e investigar el fraude
Portafolio de Servicios de Seguridad AntiFraude®
Servicios de Concientización y Capacitación .............................................................................................................................. 17
[email protected] / [email protected]
www.antfraude.co / www.antifraude.org
Bogotá, Colombia - Av Cra 9 # 113 - 52 ofc. 401 PBX (571) 7429040 Móvil (57 318) 7358018
Ayudamos a prevenir, detectar e investigar el fraude
Portafolio de Servicios de Seguridad AntiFraude®
Generalidades del Servicio
Nuestros servicios permiten definir un presupuesto único de seguridad como base de contrato, a un término de tiempo
acordado entre las partes y con posibilidad de renovaciones por periodos similares y utilizarlo efectuando las
combinaciones de servicios que necesite.
Nuestros servicios de seguridad son perfectos para entidades de cualquier tamaño, que se preocupan por la seguridad
de su información, quieren tener un asesor permanente que les indique las mejores prácticas manteniendo la
independencia de criterio frente a su propio personal de IT o incluso al resto de la organización pero desean un servicio
en demanda para evitar el costo de operación de tener contratado permanentemente un staff de seguridad.
Si requiere información adicional de cualquiera de los
servicios, solicítela a [email protected]
Servicios de Calificación de Riesgos
Calificación de Riesgo Tecnológico
Basado en nuestro servicio de análisis de vulnerabilidades internas / externas sobre los diferentes elementos
tecnológicos visibles en cada perspectiva, y adicionalmente sobre las aplicaciones web que se encuentren publicadas.
Este servicio analiza los resultados de las pruebas tecnológicas realizadas sobre los elementos solicitados, efectúa una
valoración y calificación del riesgo tecnológico asociado y emite dos tipos de reportes: el reporte técnico, con el detalle
de los riesgos identificados y su recomendación de mitigación así como anexos representativos de los mismos con
presentación estadística y además un reporte de calificación de riesgo en tres niveles, sin detalles técnicos que sirve
como soporte para presentaciones ejecutivas o rendición de cuentas. La calificación de riesgo es emitida por
AntiFraude®.
Calificación de Riesgo en Procesos
El servicio de calificación de riesgo en procesos, busca establecer la exposición al fraude derivado de la utilización de
nuevas tecnologías (hardware, software o comunicaciones), a partir de las vulnerabilidades relacionadas con seguridad
de la información existentes en éstos procesos específicos de la organización y que puedan afectarle severamente
llegando a la posibilidad de ser víctimas de actividades ilícitas. Generalmente estas auditorías se efectúan sobre otros
procesos importantes de la cadena de valor, especialmente en aquellos que involucran transacciones financieras
utilizando nuevas tecnologías (bancas electrónicas y/o pagos en línea), o bien procesos de los que dependen asuntos
vitales (sistemas hospitalarios, por ejemplo), de intercambio electrónico de documentos (cadenas de producción /
despacho), de infraestructura crítica (servicios públicos), de manufactura automatizada (sector industrial) o de seguridad
nacional.
[email protected] / [email protected]
www.antfraude.co / www.antifraude.org
Bogotá, Colombia - Av Cra 9 # 113 - 52 ofc. 401 PBX (571) 7429040 Móvil (57 318) 7358018
Ayudamos a prevenir, detectar e investigar el fraude
Portafolio de Servicios de Seguridad AntiFraude®
El servicio se lleva a cabo en modo de auditoría, efectuando entrevistas con diferentes personas involucradas en el
proceso y de ser necesario una revisión técnica; siguiendo un marco metodológico basado en las buenas prácticas de los
diversos estándares internacionales.
Todos los análisis tienen en cuenta la incidencia de las prácticas de seguridad de la información, la seguridad física, las
personas, la tecnología y el flujo del proceso analizado para establecer la calificación de riesgo y para definir los riesgos
identificados, las oportunidades de mejora y las recomendaciones para mitigarlos.
Calificación de Riesgo basado en Fuentes Públicas
Este servicio utiliza nuestras fuentes de inteligencia informática (ver servicio de inteligencia informática) para
proporcionar una calificación de riesgo, basada en recolección de información de individualización y emitiendo una
calificación basada en el análisis de dicha información. Este servicio es particularmente útil para verificación de datos,
antecedentes y conocimiento de las relaciones que circundan a una entidad particular (persona, máquina, email. Etc).
Servicios de Prevención de Fraudes
Diseño de Ambientes de Control
Este servicio contempla los siguientes aspectos:
-
Identificación de los procesos más propensos al fraude
Revisión tridimensional – Evaluación del riesgo de fraude sobre los procesos identificados (proceso, personas y
tecnología)
Identificación de los puntos de control existentes
Definición de la brecha con los puntos de control deseables
Definición de los aspectos relacionados con el ambiente de control:
o Procedimientos AntiFraude
o Compromiso de la Gerencia
o Código de conducta
o Planeación de investigaciones
o indicadores y metas
Este servicio se lleva a cabo en formato de auditoría, donde previamente se define de común acuerdo el (los) proceso(s)
a auditar, el marco de referencia para su auditoria y la expectativa del auditado o de la parte interesada. Igualmente se
entrega un checklist de documentos que deben estar disponibles para revisión de la auditoria. Entrevistas y pruebas
técnicas complementarias pueden ser incluidas de acuerdo con las necesidades de la revisión y/o expectativas de las
partes interesadas.
Posterior a la visita de auditoría, se llevan a cabo las pruebas técnicas (si aplican) a que haya lugar y se emite el informe
correspondiente.
Este servicio permitirá identificar de manera temprana y oportuna posibles riesgos de seguridad de la información,
fraudes relacionados con dichos riesgos y/o exposición a riesgo de siniestro de pólizas de seguro y de esta manera
[email protected] / [email protected]
www.antfraude.co / www.antifraude.org
Bogotá, Colombia - Av Cra 9 # 113 - 52 ofc. 401 PBX (571) 7429040 Móvil (57 318) 7358018
Ayudamos a prevenir, detectar e investigar el fraude
Portafolio de Servicios de Seguridad AntiFraude®
prevenir que sucedan fraudes al facilitarle la toma de decisiones y la priorización en el tratamiento de los riesgos
identificados.
Este servicio se basa en la metodología descrita por la Asociación de Examinadores de Fraude Certificados (ACFE)
Servicios de Investigaciones Digitales
Inteligencia Informática
Identificamos e individualizamos elementos del mundo real que se encuentren en el plano informático, por ejemplo
identificar el dueño de una dirección de correo electrónico a partir de las relaciones que existan de dicho correo en el
mundo digital (perfiles de Facebook, twitter, redes sociales, publicaciones en línea, etc). Así mismo podemos conocer
cómo está relacionado algún elemento real en la internet y con otras personas.
Este servicio permite conocer el perfil de algún individuo, empresa, producto, marca, o elemento virtual y establecer
cómo se encuentra relacionados con otros y/o qué se dice de ellos en la Red.
Para la ejecución de este servicio nos basamos en un conjunto de herramientas de última tecnología que luego de
correlacionarlas nos permite efectuar operaciones de unión e intersección de resultados, filtrando los más relevantes y
obteniendo información digital de fuentes públicas relacionadas con la búsqueda inicial.
Servicios de Respuesta a Incidentes
Ofrecemos el servicio de primer respondiente técnico, en el cual se establecen los acuerdos de nivel de servicio (tiempo
de respuesta estimado) para que frente a cualquier incidente usted tenga la asesoría experta de un investigador que le
ayudará a proceder en la forma correcta de atender el evento, incluyendo la toma de imágenes forenses si resulta
necesario, con la cadena de custodia correspondiente para posterior análisis de evidencias digitales.
El valor de este servicio es de $1.300.000 por evento. No incluye valor de medios de almacenamiento necesarios para la
toma de imágenes cuando sea necesario.
Este servicio está incluido dentro de los servicios que presta el acompañamiento técnico en seguridad propuesto más
atrás.
Informática Forense
Nuestros servicios de análisis forense tienen las siguientes características:
-
Elaboración de la imagen forense del medio original con cadena de custodia conforme con la ley 906 de 2004
(Sistema Penal Acusatorio), si no ha sido tomada por un primer respondiente o por el acompañamiento técnico
De forma opcional, <EL CLIENTE> puede tomar las imágenes de los medios originales y entregar una copia para
análisis, con la correspondiente cadena de custodia
Control de integridad de los medios originales, con la imagen tomada y/o con las copias de análisis proporcionadas
Traslado de la copia de análisis a laboratorio
[email protected] / [email protected]
www.antfraude.co / www.antifraude.org
Bogotá, Colombia - Av Cra 9 # 113 - 52 ofc. 401 PBX (571) 7429040 Móvil (57 318) 7358018
Ayudamos a prevenir, detectar e investigar el fraude
Portafolio de Servicios de Seguridad AntiFraude®
-
Análisis de tiempos de actividad (líneas de tiempo) de forma que se pueda establecer la actividad del sistema en un
momento específico
Análisis de entropía, para detectar archivos contenidos dentro de otros archivos y/o archivos cifrados
Análisis de malware, identificación de virus, troyanos y en general de actividad considerable como maliciosa dentro
del sistema
Análisis de correos electrónicos (cuando existen) para establecer el intercambio de información utilizando clientes
locales de correo
Análisis de hábitos de navegación, para identificar el tipo de páginas más frecuentadas por los usuarios del equipo
analizado
Análisis por palabras clave, para identificar rastros de actividad coincidente con palabras clave que sean relevantes
para la investigación
Análisis especiales solicitados por <EL CLIENTE>, para determinar la existencia o no de actividad o patrones
coincidentes con situaciones específicas que sean de interés para <EL CLIENTE>
Ajuste de Siniestros / Investigaciones Digitales
Este servicio se basa en la investigación e integración completa del equipo de trabajo de AntiFraude® desde el inicio del
incidente, incluyendo la primera respuesta al mismo y procesando las evidencias digitales conforme vayan siendo
identificadas, de acuerdo con las características del servicio de Informática Forense y de Respuesta a incidentes. En este
caso, se aborda completamente la investigación y cuando se trata de ajuste de siniestros para compañías de seguros, se
tratan los protocolos internos específicos definidos para tal efecto.
Servicios de E-Discovery
Nuestros servicios de e-discovery utilizan tecnologías especializadas como ViewPoint y AccessData para efectuar minería
de datos sobre computadores, celulares o redes de datos y encontrar patrones de actividades ilícitas, palabras
específicas o eventos disparadores que puedan convertirse en evidencia de carácter informático.
Este servicio es particularmente útil para profesionales del derecho o investigadores especialistas que requieran buscar
datos específicos entre múltiples fuentes potenciales de evidencia, para correlacionar eventos que configuren un patrón
de conducta específico, para encontrar relaciones entre elementos virtuales como correos electrónicos.
Servicios de Protección de VIPs
Gestión de la Reputación en Línea
Basados en nuestro servicio de inteligencia informática, podemos establecer la reputación en línea (buscadores, redes
sociales, etc) de una persona, producto, compañía o marca) y trazar la ruta de acción para gestionar de una mejor forma
dicha reputación ayudando de una forma totalmente legitima a cambiar la percepción en línea de dicha persona,
producto, compañía o marca.
[email protected] / [email protected]
www.antfraude.co / www.antifraude.org
Bogotá, Colombia - Av Cra 9 # 113 - 52 ofc. 401 PBX (571) 7429040 Móvil (57 318) 7358018
Ayudamos a prevenir, detectar e investigar el fraude
Portafolio de Servicios de Seguridad AntiFraude®
Protección Digital
Nuestro servicio permite a personajes VIP (figuras públicas, políticos, diplomáticos, personas con posición de poder,
presidentes de corporaciones, etc) blindar completamente la seguridad de su vida digital, sin tener que cambiar
drásticamente sus hábitos normales, de forma que no resulten víctimas de interceptaciones, seguimientos, fugas de
información o cualquier otro tipo de actividad ilegitima que atente contra la confidencialidad, la integridad o la
disponibilidad de aquellos activos que por su posición deben manejar.
Este servicio contempla la revisión completa del entorno del VIP, para identificar los elementos informáticos que utiliza y
cómo lo hace, en situaciones corporativas y personales identificando sus prácticas normales y elaborando el plan de
acción para protegerles.
Servicios de Seguridad de la Información
Acompañamiento Técnico en Seguridad
Un profesional disponible siempre, en modalidad 5x8 cuando usted lo necesite, para atender sus requerimientos de
seguridad. Este profesional no solo podrá ayudar en labores técnicas relacionadas con los requerimientos de seguridad
de la información, sino también actuará como primer respondiente en caso de un incidente de seguridad. No requiere
espacio de trabajo dentro de las instalaciones de la entidad.
*Requiere contratación anual.
Consultor Especializado en Seguridad de la Información
Un profesional disponible siempre, en modalidad 5x8 cuando usted lo necesite, para atender sus requerimientos de
seguridad. Este profesional podrá ayudar en labores estratégicas de gestión de seguridad de la información, cuenta con
certificaciones acordes a las diferentes necesidades: ISO 27001, Continuidad de Negocio, Concientización en seguridad y
otras especialidades relacionadas.
*Requiere contratación anual.
Oficial de Seguridad de la Información en Outsourcing
Un profesional experimentado en gestión de seguridad de la información, para la ejecución de las siguientes tareas:
-
Liderar y garantizar el cumplimiento de las responsabilidades definidas en el perfil de cargo de Oficial de
Seguridad de la Organización
Transferencia de conocimiento de todas las actividades al equipo de trabajo designado por la organización
Reuniones de seguridad de la información con el equipo técnico y estratégico que defina la organización, por lo
menos una vez cada quince días
Citar, liderar y participar de los Comités de seguridad al menos una vez al mes
[email protected] / [email protected]
www.antfraude.co / www.antifraude.org
Bogotá, Colombia - Av Cra 9 # 113 - 52 ofc. 401 PBX (571) 7429040 Móvil (57 318) 7358018
Ayudamos a prevenir, detectar e investigar el fraude
Portafolio de Servicios de Seguridad AntiFraude®
-
Citar, preparar en conjunto con el equipo de trabajo y participar de la revisión por gerencia del sistema de
gestión de seguridad de la información al menos una vez al año
Coordinar las actividades relacionadas con seguridad de la información, que debe desarrollar el equipo de TI y
garantizar su cumplimiento
Mantener actualizada y gestionada la matriz de riesgos de seguridad de la información y desarrollar y proponer
nuevos controles requeridos para la mitigación de riesgos de acuerdo con la metodología de riesgos
Llevar a cabo al menos una auditoria interna anual a la gestión de seguridad de la información
Presentar los indicadores a su alcance y gestionar los que se encuentren fuera de él para el sistema de gestión
de seguridad de la información
Proponer las mejoras a la seguridad de la información, que considere necesarias.
Mejorar continuamente los procesos actuales buscando asegurar los activos de información
*Requiere contratación anual.
Análisis de Vulnerabilidades
Análisis básico automatizado de las vulnerabilidades internas / externas sobre las diferentes IPs visibles en cada
perspectiva, y adicionalmente sobre las aplicaciones web que se encuentren publicadas, de acuerdo con la siguiente
tabla de costos. Estos análisis son 100% automáticos, basados en las herramientas QUALYS, APPSCAN, OPENVAS,
NESSUS y/o cualquier otra disponible. No incluyen verificación de falsos negativos / positivos.
El análisis de vulnerabilidades es un servicio apropiado para cumplimiento de normatividad y verificación de seguridad
continua en un periodo de tiempo (por ejemplo verificación de tendencias anuales). Cada prueba de verificación sería
una prueba adicional nueva.
Existen opciones de análisis de vulnerabilidad ilimitadas por año, basados en la plataforma Express® de Qualys®. SI le
interesa esta opción, contáctenos a través de [email protected]
Ethical Hacking
Tenemos opciones de ethical hacking tradicional para usted (Esta opción de Ethical hacking es la que se ha venido
trabajando con <EL CLIENTE> hasta ahora)
Ethical Hacking Externo
El servicio de pruebas desde Internet, busca determinar los problemas de seguridad informática existentes y que sean
visibles desde cualquier ubicación en Internet y que en caso de ser explotados o aprovechados podrían poner en riesgo
la normal operación del negocio de <EL CLIENTE> y sus aplicaciones web.
La orientación de las pruebas siempre está alineada con la lógica del negocio, de manera que al identificar los riesgos, el
peso de los mismos sea mayor para aquellos que impactan más gravemente la operación del negocio, facilitando la
generación de un plan de inversión priorizado de acuerdo a las necesidades reales de continuidad.
Tareas a ejecutar durante el desarrollo de esta etapa:
Durante el desarrollo de esta etapa, se definirán aspectos como:
[email protected] / [email protected]
www.antfraude.co / www.antifraude.org
Bogotá, Colombia - Av Cra 9 # 113 - 52 ofc. 401 PBX (571) 7429040 Móvil (57 318) 7358018
Ayudamos a prevenir, detectar e investigar el fraude
Portafolio de Servicios de Seguridad AntiFraude®
-
Escenarios: El escenario aplicable para estas pruebas, contando con información básica de la red (por lo menos el
dominio de Internet o las direcciones IP autorizadas).
-
Objetivos a evaluar (aquellos que son visibles desde Internet y que pueden afectar el negocio).
-
Restricciones (técnicas, administrativas o logísticas).
De la misma manera, los tipos de pruebas que se realizarán durante esta etapa, están enmarcadas (pero no limitadas)
en:
-
Pruebas de detección, validación y explotación de problemas de seguridad en servidores (Unix, Windows),
mecanismos de seguridad (Firewalls, IDS, IPS, VPN), elementos de comunicación (enrutadores), servicios comunes
(web, correo, DNS, POP3, etc).
-
Ataques comunes enfocados a protocolos (TCP Hijacking, IP Spoofing, ARP Spoofing, Sniffing, DoS – de común
acuerdo, SNMP Testing, etc), acceso remoto (Wardialing, PBX Testing, RAS Server Testing)
-
Ataques enfocados a servicios comunes, tales como WEB (Cross Site Scripting, CGI/ASP/PHP scanning, command
execution), Correo.
-
Igualmente, se desarrolla un set de pruebas enfocadas especialmente a las aplicaciones transaccionales de Internet,
buscando determinar los problemas de seguridad informática existentes que puedan ser aprovechados por
cualquiera mediante el acceso no autorizado o el escalamiento de privilegios en aplicaciones propietarias, poniendo
en riesgo la integridad de la información y la normal operación del negocio. Estas pruebas se centran en:
La posibilidad de acceder de manera no autorizada al aplicativo
La revisión de los mecanismos de autenticación
El manejo de sesiones
La posibilidad de inyección de código
La manipulación de parámetros
La ejecución de pruebas de stress
La identificación de puntos de aborto de la aplicación
El escalamiento de privilegios.
La suplantación de credenciales.
La confidencialidad en el manejo de datos.
La manipulación de salidas o resultados.
Los mecanismos de Autenticación.
La información no advertida.
Resultados esperados
Como resultado de estas pruebas, se podrá determinar el nivel de seguridad de los elementos involucrados. Se tendrá
entre otros los siguientes aspectos:
-
La información no advertida.
[email protected] / [email protected]
www.antfraude.co / www.antifraude.org
Bogotá, Colombia - Av Cra 9 # 113 - 52 ofc. 401 PBX (571) 7429040 Móvil (57 318) 7358018
Ayudamos a prevenir, detectar e investigar el fraude
Portafolio de Servicios de Seguridad AntiFraude®
-
Resultados de la ejecución de herramientas especializadas en pruebas de seguridad.
-
Resultados de las pruebas manuales realizadas (p.e: usuarios, contraseñas, información crítica, etc.).
-
En caso de tener acceso a un servidor, aplicación o en general cualquier elemento probado, se presentara el detalle
de la manera que se logro vulnerar el elemento.
-
Se evaluaran los falsos positivos, para determinar los problemas reales existentes en cada uno de los elementos.
-
Toda la documentación relacionada, donde se incluye, los problemas encontrados, el riesgo asociado y la
recomendación para la solución del mismo.
Ethical Hacking Interno
El servicio de pruebas de Intranet o interna, busca determinar los problemas de seguridad informática existentes y que
puedan ser aprovechados por cualquier persona (empleado o no) desde el interior de la red corporativa, o cualquiera de
sus redes asociadas poniendo en riesgo la normal operación del negocio. En este caso, las pruebas ofrecidas están
directamente relacionadas con los elementos que intervienen en la operación de <EL CLIENTE>.
La orientación de las pruebas siempre está alineada con la lógica del negocio, de manera que al identificar los riesgos, el
peso de los mismos sea mayor para aquellos que impactan más gravemente la operación del negocio, facilitando la
generación de un plan de inversión priorizado de acuerdo a las necesidades reales de continuidad.
Tareas a ejecutar durante el desarrollo de esta etapa:
Para la ejecución de este servicio, se realiza una reunión inicial donde los consultores de ANTIFRAUDE® en conjunto con
el equipo de proyecto por parte de <EL CLIENTE> definen aspectos relacionados con:
-
Escenarios: El escenario aplicable para estas pruebas, contando con información básica de la red (por lo menos el
dominio de Internet o las direcciones IP autorizadas).
-
Objetivos a evaluar (aquellos que son visibles desde Internet y que pueden afectar el negocio).
-
Restricciones (técnicas, administrativas o logísticas).
De la misma manera, los tipos de pruebas que se realizarán durante esta etapa, están enmarcadas (pero no limitadas)
en:
-
Pruebas de detección, validación y explotación de problemas de seguridad en servidores (Unix, Windows),
mecanismos de seguridad (Firewalls, IDS, IPS, VPN, Antivirus), elementos de comunicación (enrutadores, switches,
etc), servicios comunes (web, correo, DNS, POP3, etc), bases de datos, impresoras, etc.
-
Ataques comunes enfocados a protocolos (TCP Hijacking, IP Spoofing, ARP Spoofing, Sniffing, DoS - de común
acuerdo, SNMP Testing, etc).
[email protected] / [email protected]
www.antfraude.co / www.antifraude.org
Bogotá, Colombia - Av Cra 9 # 113 - 52 ofc. 401 PBX (571) 7429040 Móvil (57 318) 7358018
Ayudamos a prevenir, detectar e investigar el fraude
Portafolio de Servicios de Seguridad AntiFraude®
-
Ataques enfocados a servicios comunes, tales como WEB (Cross Site Scripting, CGI/ASP/PHP scanning, etc ),
CORREO (SMTP Mail relay, Information Disclosure, etc), DNS (DNS Poisoning, DNS Spoofing, etc), entre otros.
-
Ataques orientados a usuarios (backdoors, caballos de Troya, virus, etc)
-
Ataques orientados a redes Wireless (EMR testing, 802.11q Testing, Wireless handheld Testing, Wireless Diving, etc).
Adicionalmente a lo anterior, se realizara una auditoria de contraseñas, con el fin de determinar el nivel de
cumplimiento de los usuarios con respecto a las políticas establecidas para este aspecto.
Resultados esperados
Como resultado de esta etapa, se podrá determinar el nivel de seguridad de los elementos involucrados. Se tendrá entre
otros los siguientes aspectos:
-
Resultados de la ejecución de herramientas especializadas en pruebas de seguridad.
-
Resultados de las pruebas manuales realizadas (p.e: usuarios, contraseñas, información critica, etc.).
-
En caso de tener acceso a un servidor, aplicación o en general cualquier elemento probado, se presentara el detalle
de la manera que se logro vulnerar el elemento.
-
Se evaluaran los falsos positivos, para determinar los problemas reales existentes en cada uno de los elementos.
-
Toda la documentación relacionada, donde se incluye, los problemas encontrados, el riesgo asociado y la
recomendación para la solución del mismo.
Ethical Hacking Aplicaciones (internas o externas).
El servicio de pruebas de Aplicaciones, busca determinar los problemas de seguridad informática existentes que puedan
ser aprovechados por cualquiera mediante el acceso no autorizado o el escalamiento de privilegios en aplicaciones
propietarias, poniendo en riesgo la integridad de la información y la normal operación del negocio
La orientación de las pruebas siempre está alineada con la lógica del negocio, de manera que al identificar los riesgos, el
peso de los mismos sea mayor para aquellos que impactan más gravemente la operación del negocio, facilitando la
generación de un plan de inversión priorizado de acuerdo a las necesidades reales de continuidad.
Tareas a ejecutar durante el desarrollo de esta etapa:
En esta fase se ejecutan las pruebas que permitan identificar problemas de seguridad informática sobre el aplicativo.
Estas pruebas incluyen:
-
Posibilidad de acceder de manera no autorizada al aplicativo.
-
Revisión de los mecanismos de autenticación.
[email protected] / [email protected]
www.antfraude.co / www.antifraude.org
Bogotá, Colombia - Av Cra 9 # 113 - 52 ofc. 401 PBX (571) 7429040 Móvil (57 318) 7358018
Ayudamos a prevenir, detectar e investigar el fraude
Portafolio de Servicios de Seguridad AntiFraude®
-
Manejo de sesiones.
-
Posibilidad de inyección de código.
-
Manipulación de parámetros.
-
Pruebas de stress.
-
Identificación de puntos de aborto de la aplicación.
-
Escalamiento de privilegios.
-
Suplantación de credenciales.
-
Confidencialidad en el manejo de datos.
-
Manipulación de salidas o resultados
Para la ejecución de estas pruebas, proponemos que éstas se realicen desde diferentes perfiles de usuario:
-
Un primer escenario, estaría enfocado a realizar un juego de pruebas sin usuario válido (orientadas a violar los
mecanismos de autenticación y la confidencialidad en el manejo de los datos).
-
Un segundo escenario, estaría enfocado a realizar un juego de pruebas con un usuario del perfil más bajo (para
identificar posibilidades de escalamiento de privilegios).
-
Un tercer escenario, estaría enfocado a realizar un juego de pruebas con un usuario privilegiado (para identificar
problemas relacionados propiamente con la operación de la aplicación, como manipulación de parámetros,
resultados, salidas, sesiones, etc.)
Resultados esperados
Como resultado de esta etapa, se podrá determinar el nivel de seguridad de los elementos involucrados. Se tendrá entre
otros los siguientes aspectos:
-
Resultados de la ejecución de herramientas especializadas en pruebas de seguridad.
-
Resultados de las pruebas manuales realizadas (p.e: usuarios, contraseñas, información crítica, etc.).
En caso de tener acceso a un servidor, aplicación o en general cualquier elemento probado, se presentara el detalle de la
manera que se logro vulnerar el elemento.
Se evaluaran los falsos positivos, para determinar los problemas reales existentes en cada uno de los elementos.
Toda la documentación relacionada, donde se incluye, los problemas encontrados, el riesgo asociado y la
recomendación para la solución del mismo.
[email protected] / [email protected]
www.antfraude.co / www.antifraude.org
Bogotá, Colombia - Av Cra 9 # 113 - 52 ofc. 401 PBX (571) 7429040 Móvil (57 318) 7358018
Ayudamos a prevenir, detectar e investigar el fraude
Portafolio de Servicios de Seguridad AntiFraude®
Ethical Hacking Garantizado
Tenemos una opción que llamamos ethical Hacking garantizado: si no lo vulneramos le devolvemos su dinero. Este
ethical hacking no está delimitado por cantidad de direcciones IP o por perspectiva. Se toma la entidad de manera
completa, como un todo bajo el concepto de “la seguridad existe o no existe, pero no hay términos medios”. Este
análisis es muy útil para compañías cuyo interés se centra no solo en la seguridad de un sistema o aplicación específico
sino en general en la identificación de puntos vulnerables a cualquier nivel de la organización: procesos, personas,
tecnología, seguridad física etc. Este ethical hacking incluye todo lo que puede requerir, desde hacking externo, interno,
ingeniería social y más, con el único objetivo de vulnerar la entidad. Si logra sobrevivir este análisis sin hallazgos de
vulnerabilidades comprobables y explotables, de criticidad alta contra los listados de vulnerabilidades internacionales
(CVE, OWASP, etc), le devolvemos hasta el 80% de su dinero.
* El porcentaje de devolución se define concertadamente entre las partes previa contratación caso por caso, depende
de los gastos administrativos de AntiFraude® y la complejidad del proyecto.
* La definición de tiempos de ejecución de las actividades será concertada con el cliente y dependerá exclusivamente del
tamaño de la organización a evaluar.
* AntiFraude® se reserva el derecho de ofertar este servicio particularmente a ciertos clientes o bajo circunstancias
específicas.
Aseguramiento
El aseguramiento está orientado a acciones correctivas que se deben realizar sobre la configuración de elemento que
vaya a ser asegurado (servidor, servicio, base de datos, etc).
-
En una primera instancia se generan las guías / checklists de configuraciones seguras que deberán ser implantadas
por cada elemento.
-
Posteriormente se diseña el procedimiento de aseguramiento con todas las recomendaciones que se deben
implementar, para la evaluación por parte del Administrador del servidor
-
Una vez se haya verificado que la compatibilidad de los pasos del aseguramiento no interfiere con las aplicaciones
instaladas en el servidor se diseña el Script de aseguramiento, junto con un documento que contiene el
procedimiento manual de los pasos que ejecuta el Script.
-
Posteriormente se genera el informe Final, con problemas encontrados, problemas mitigados, problemas no
mitigados, y recomendaciones adicionales.
-
Con la información recolectada se complementa el checklist de aseguramiento, para proceder con su ejecución
llevando un detallado registro de las acciones realizadas para poder replicar / retroceder el proceso en cualquier
punto del mismo. Este checklist es realizado teniendo en cuenta las buenas prácticas de seguridad informática
mundialmente aceptadas.
-
Una vez se ha ejecutado todo el proceso, se llevan a cabo las pruebas de aceptación de servicio, que permiten
establecer al administrador que posterior al aseguramiento, el elemento sigue presentando su funcionalidad sin
problema alguno.
[email protected] / [email protected]
www.antfraude.co / www.antifraude.org
Bogotá, Colombia - Av Cra 9 # 113 - 52 ofc. 401 PBX (571) 7429040 Móvil (57 318) 7358018
Ayudamos a prevenir, detectar e investigar el fraude
Portafolio de Servicios de Seguridad AntiFraude®
Las actividades de aseguramiento estarán dirigidas a:
-
Corregir problemas de seguridad existentes en la plataforma
-
Configurar de manera adecuada los diferentes parámetros de seguridad de los servidores
-
Recomendar los últimos parches de seguridad liberados por el fabricante
-
Configurar de manera segura, permisos, servicios y usuarios de los diferentes servidores con el fin de minimizar
riesgos asociados a los mismos.
Finalmente como resultado de las actividades anteriores, se presenta un documento donde se presentaran los cambios
realizados y no realizados.
Servicios de Revisión de Código
Nuestro servicio de revisión de código incluye la revisión de arquitectura para identificar las posibles vulnerabilidades,
fallas y/o oportunidades de mejoramiento asociados con la arquitectura del aplicativo. Adicionalmente incluye la
revisión de diseño y código fuente ejecutando pruebas automáticas y desarrollo de pruebas de unidad; donde se
pretende analizar de forma automática la totalidad del código fuente en busca de patrones de vulnerabilidad conocidos
y diseñar scripts que sirvan para probar los escenarios identificados y casos de uso de forma automática y un Análisis
manual; donde se realizará una revisión manual línea por línea del código fuente donde se identificarán fallas o posibles
vulnerabilidades sobre la aplicación.
Actualmente prestamos este servicio sobre las siguientes tecnologías estándar:
Lenguaje
ASP
.Net (cualquier
lenguaje)
Java
PHP
JavaScript
Python
Bases de datos
MS SQL Server
Conectores BD
Todos
Modelos de interacción
TCP/IP
MySQL
Shared Memory
Postgres
Oracle
DB2
WebServices (SOAP)
Bases de datos
HTTP
Persistente en disco (XML,
txt, etc.)
Modelos SOA
SQLlite
PL/SQL
Los costos de este servicio se definen por la cantidad de ELOC (Effective Lines of Code) es decir la cantidad de líneas
efectivas de código sin tomar en cuenta líneas en blanco, corchetes, separadores de código, inclusión de librerías, etc).
Servicios de Consultoría Especializada en Seguridad de la Información
Todos nuestros servicios de consultoría especializada, pueden adquirirse por bodega de horas, con valores por hora, dia,
semana o mes. Estos valores pueden cambiar de acuerdo a condiciones específicas de cada proyecto.
Entre los servicios que ofrecemos en esta modalidad están los siguientes:
[email protected] / [email protected]
www.antfraude.co / www.antifraude.org
Bogotá, Colombia - Av Cra 9 # 113 - 52 ofc. 401 PBX (571) 7429040 Móvil (57 318) 7358018
Ayudamos a prevenir, detectar e investigar el fraude
Portafolio de Servicios de Seguridad AntiFraude®
-
Information Security Coaching, talleres de transferencia de conocimiento y talleres de seguimiento sobre
objetivos y avances en seguridad de la información
Servicios de Diagnóstico de Seguridad en Procesos: análisis GAP, auditorias de procesos, análisis de riesgos, etc.
Consultorías en sistemas de gestión de seguridad, ISO 27001, cumplimiento de estándares.
Desarrollo de planes de concientización (No incluye el valor de las piezas de contenido necesarias, que deberán
se cotizadas de manera independiente).
Capacitaciones especializadas en servicios, productos o técnicas de seguridad de la información
Para la ejecución de estos servicios se elabora de común acuerdo un plan que detalla los objetivos, tiempos, entregables
y recursos requeridos de acuerdo con las necesidades particulares.
Condiciones de Uso de la Bodega de Horas y SLA
La disponibilidad del servicio tendrá máximo un (1) año de vigencia dependiendo siempre de la disponibilidad de horas
restantes en la Bodega para el desarrollo del mismo.
Nota: Los servicios incluidos en la Bodega de horas estarán sujetos a la disponibilidad existente en la misma. En caso de
requerirse horas adicionales a las contratadas para finalizar un servicio específico, éstas deberán ser adquiridas de
acuerdo con las tablas anteriormente especificadas.
Solicitud de Horas: <EL CLIENTE> podrá solicitar la utilización de sus horas mediante una programación de proyecto al
inicio de la Bodega de Horas, donde se establecerán las actividades de mayor interés para la compañía y la utilización del
porcentaje mínimo mensual de horas estipulado. Para las horas no programadas, se podrá solicitar la presencia del
consultor con dos (2) días hábiles de antelación indicando el propósito de la solicitud. En caso de requerir un servicio
particular, éste se podrá coordinar sin que las actividades de planeación del mismo descuenten horas de la Bodega, pues
éstas últimas serán sólo de servicio efectivo y documentación.
Tiempo de Respuesta: Cuando la solicitud se haga con los dos (2) días hábiles de antelación requeridos, AntiFraude®
podrá en la medida de las posibilidades asumir ese plazo como tiempo de respuesta máximo. En caso de situaciones
logísticas que impidan el cumplimiento de ese plazo, la respuesta al mismo no se podrá extender por más de tres (3) días
hábiles a partir de la solicitud.
Ventajas de la Bodega de Horas
- Permite el desarrollo de proyectos prioritarios
- Disponibilidad de utilización de las horas de acuerdo a las necesidades particulares en proyectos de tecnología.
- No tiene restricciones en la cantidad de consultores que participan en un proyecto. No obstante, cada consultor
descuenta sus horas de la Bodega de Horas adquirida (esto es, si tres consultores simultáneamente trabajan una
hora en un proyecto específico, se darán por utilizadas tres horas de la Bodega)
- Si hacen falta horas antes de terminar el periodo contractual es posible adquirir horas adicionales
- La Bodega de horas no presenta restricciones en materia de actividades o servicios, siempre y cuando éstos estén
relacionados con seguridad informática y se tenga la capacidad por las partes para ejecutarlo
- Proporciona una total libertad y confiabilidad a <EL CLIENTE> para contar con un asesor en seguridad informática
cuando lo requiera
- El control de utilización de horas se llevará a cabo mediante un mecanismo acordado entre <EL CLIENTE> y
ANTIFRAUDE®.
[email protected] / [email protected]
www.antfraude.co / www.antifraude.org
Bogotá, Colombia - Av Cra 9 # 113 - 52 ofc. 401 PBX (571) 7429040 Móvil (57 318) 7358018
Ayudamos a prevenir, detectar e investigar el fraude
Portafolio de Servicios de Seguridad AntiFraude®
Proyectos especiales
Estamos en capacidad de atender sus proyectos especiales de seguridad. Teniendo en cuenta que se trata de situaciones
que pueden tener características especiales de ejecución, que pueden involucrar el desarrollo de software a la medida o
la inclusión de personal especializado, lo invitamos a cotizar caso por caso estos proyectos solicitando una reunión de
levantamiento de información totalmente gratis para la posterior cotización a través de [email protected].
Servicios de Concientización y Capacitación
Efectuamos los planes de concientización en seguridad de la información, teniendo en cuenta la metodología HIM-IS:
Concientización
Comportamiento
• Estás
consciente de
alguna
situación
particular
pero no haces
nada al
respecto
Cultura
• Además de
estar
consciente,
ejecutas
actividades
consistentes
con dicha
conciencia
• Las
actividades
conscientes se
multiplican a
todo un grupo
de población y
son adoptadas
por su gran
mayoría
HIM-IS
Nuestra Metodología propende por llevar a los usuarios de la mano en un proceso que permita convertir la
concientización en comportamiento y multiplicar el comportamiento para convertirlo en cultura.
Creemos firmemente que un contenido de alto impacto e interacción es más eficiente que horas y horas de charlas
magistrales, por lo cual hemos desarrollado el método “drip irrigation” que busca enviar a las personas más contenido,
más seguido y más divertido, obteniendo como resultado una muy alta recordación de los mensajes.
Nos basamos en un concepto muy sencillo:
[email protected] / [email protected]
www.antfraude.co / www.antifraude.org
Bogotá, Colombia - Av Cra 9 # 113 - 52 ofc. 401 PBX (571) 7429040 Móvil (57 318) 7358018
Ayudamos a prevenir, detectar e investigar el fraude
Portafolio de Servicios de Seguridad AntiFraude®
El
Mensaje
El
Contenido
El Medio
La
Diferencia
Los mensajes deben ser lo más concisos, claros, directos y sencillos posible; se deben utilizar múltiples medios de
difusión (tecnologías innovadoras, marketing viral, BTL, marketing móvil, etc.) y el contenido debe ser de alto impacto y
muy entretenido para generar la expectativa en el receptor sobre cuál será el siguiente contenido a recibir.
En AntiFraude® ofrecemos todo lo necesario: el plan de concientización, los temas, los medios y los contenidos.
Adicionalmente tenemos un amplio portafolio de capacitación en las siguientes áreas:
-
Seguridad de la Información
Ethical Hacking
Aseguramiento de Servidores
Prevención de Fraude
Investigaciones Digitales
ISO 27001
Inteligencia Informática
Entre otros.
[email protected] / [email protected]
www.antfraude.co / www.antifraude.org
Bogotá, Colombia - Av Cra 9 # 113 - 52 ofc. 401 PBX (571) 7429040 Móvil (57 318) 7358018
Descargar