Consultoría de Pentesting (BlackBox) & IT Controls
Objetivo General
Realizar una Prueba de Penetración de Ciberseguridad (Pentesting) permite enumerar las vulnerabilidades y fallas tecnológicas detectadas, con el fin de establecer un perfil de riesgo tecnológico, con sus recomendaciones y controles a implementar y de esa manera, poder mitigar o reducir las vulnerabilidades y fallas tecnológicas de la empresa.
Objetivos Específicos
Ejecutar una prueba de penetración a nivel de seguridad de la información de tipo caja negra sobre los activos tecnológicos de la empresa. Analizar los resultados de las vulnerabilidades y fallas detectadas por la prueba de penetración realizada. Realizar un informe de fallas y vulnerabilidades de seguridad TI en la infraestructura tecnológica actual. Establecer y documentar las recomendaciones, mejores prácticas y acciones correctivas de seguridad de la información a aplicar en la infraestructura tecnológica actual. Asesorar a los principales involucrados (stakeholders) de la empresa a nivel de seguridad de la información, sobre los riesgos tecnológicos y tendencias actuales de Ciberseguridad.
Alcance
Se pretende probar a nivel de seguridad de la información, la infraestructura tecnológica actual de la empresa, con el fin de establecer un perfil de riesgo tecnológico, en base a un análisis de riesgos y recomendaciones (controles), buenas prácticas, estándares y metodologías de seguridad de la información reconocidas a nivel internacional.
Metodología General de Trabajo.
Pentesting (Prueba de Penetración de Ciberseguridad)
Para nosotros iniciar con la descripción de la metodología del Pentesting (Prueba de Penetración de Ciberseguridad), vamos a definir algunos conceptos relacionados a dicho servicio o buena práctica. Ya después de definidos, vamos a indicar la metodología a utilizar para llevar a cabo el Pentesting.
Pentesting o Penetration Testing: es la práctica de atacar diversos entornos tecnológicos, con la intención de descubrir fallos, vulnerabilidades u otros fallos de seguridad, para así poder prevenir ataques externos hacia esos equipos o sistemas.
Tipos de Pentesting o Penetration Testing:
Pruebas de Penetración de Caja Negra: Donde los pentesters o analistas de seguridad no tienen conocimiento del funcionamiento interno de la infraestructura tecnológica o sistemas, y trabajan con la información que puede conseguir por sus propios medios.
Pruebas de Penetración de Caja Blanca: En este tipo de pruebas los pentesters o analistas de seguridad tienen total conocimiento del funcionamiento interno del sistema, y trabaja con información que puede tener acceso uno o varios empleados dentro de la organización.
Pruebas de Penetración de Caja Gris: Donde los pentesters o analistas de seguridad pueden tener conocimiento sobre algunos aspectos del funcionamiento del sistema y de otros no.
Amenaza: Agente o circunstancia capaz de explotar una o más vulnerabilidades tecnológicas. Una amenaza puede ser: Un Hacker Informático, Un Virus, Un Troyano, etc.
Vulnerabilidad: Un fallo en la seguridad de una aplicación, sistema o hardware, más comúnmente conocido como agujero por donde colarse para hacerse con el control de la aplicación o incluso del equipo al completo. Las vulnerabilidades pueden ser desde un fallo en la programación de una aplicación, una contraseña muy débil u obvia del tipo “1234”, “password” o “contraseña”; o incluso algo tan complejo, como un desbordamiento de un buffer de información del sistema.
Ya definidos estos tres conceptos fundamentales, podemos recalcar que nuestra metodología del Pentesting se basa en el Consejo Internacional de Consultores de Comercio Electrónico (EC-Council), dicho consejo es conocido principalmente como un organismo de certificación profesional. Entre sus principales certificaciones están las siguientes y las que poseen nuestros consultores, estan las siguientes:
Certified Ethical Hacker - CEH (Certificado Hacker Ético).
Metodología de Recomendaciones, Controles y Mejores Prácticas de Seguridad de la Información.
La metodología a utilizar para la recomendación de controles, mitigación de riesgos tecnológicos y mejores prácticas, serán varias: ISO/IEC27001, PCI-DSS, OWASP e ITIL.
El estándar ISO/IEC27001 posee sus 114 controles de seguridad de la información, el estándar de seguridad PCI-DSS posee sus famosos 12 requisitos de seguridad TI, el documento internacional OWASP por su lado, posee el TOP TEN de los riesgos de aplicaciones web y como prevenirlos. Y, por último, la metodología ITIL, famosa por sus mejores prácticas en materia de la gestión de servicios de tecnología de la información.
Fuentes Web:
- ISO/IEC 27001
Enlace: http://www.iso.org/iso/home/standards/management-standards/iso27001.htm
- PCI-DSS (Payment Card Industry Standards)
Enlace: https://www.pcisecuritystandards.org/pci_security/
-OWASP
Enlace: https://www.owasp.org/index.php/Top_10_2013-Top_10
ITIL Foundation V3
Equipo de Consultores
El personal técnico que realiza las consultorías de technolgoyINT, cuenta con vasta experiencia y conocimientos en el área de infraestructura, redes, seguridad TI, Pentesting y en herramientas de performance y desempeño TI. Este equipo de consultores, cuentan con renombre y alta credibilidad en sus áreas de experticia, utilizando las más recientes y mejores prácticas en materia de seguridad de la información.
Este equipo cuenta, adicional a sus años de experiencia, con un conjunto de certificaciones y estudios superiores en materia de Seguridad de la Información, Infraestructura TI y Ciberseguridad, dentro de las cuales podemos citar:
CEH - Certified Ethical Hacker LTP - License Penetration Tester ITIL - Information Technology Infrastructure Library CISA - Certified Information System Auditor CISCO Certified (CCNA, CCNP, CCNA Security) Security Product Specialist (McAfee, Fortinet, CISCO) Management Computer Security Incident Response Team - CSIRT Network Security and Perimetral Security Microsoft Certified Expert
Plan de Trabajo
Por parte de la Consultoría de Pentesting & IT Controls:
|
|
Cronograma de Trabajo .
A continuación, detallamos un cronograma de trabajo para un pentesting de una infraestructura tecnológica de una MIPYME, cerca de 200 usuarios. Este cronograma variara de acuerdo al tamaño de la Infraestructura de TI de su organizacion.
