TechnologyINT
Envienos un Correo Electrónico
  • Inicio
  • SERVICIOS
    • Pentesting [Prueba de Penetracion de Seguridad ] >
      • Consultoria de Pentesting & IT Controls
      • Análisis Forense
      • Auditoria de Código Fuente
      • Assessment for Operational Technologies
      • Auditoria de Banca Electrónica y Cajeros Automaticos
      • Test de Intrusion internos y Externos
      • Analisis de Vulnerabilidades a Sitios Web
    • SOC / CERT
    • Ttraining
  • Soluciones
    • Software de Análisis Informático: Forensic Tool Kit (FTK)
    • Estaciones Forenses
  • Perfil
    • Eventos >
      • TechnologyINT-TTC2017
      • TechnologyINT-TTC 2018
      • Conferencia Introducción al Computo Forense, Julio 2010 en el Ministerio de las Fuerzas Armadas
      • Taller de Análisis Informático Forense, Marzo y Julio 2014
      • Conferencia "Buenas Practicas al Implementar DLP, 29 de mayo 2014"
      • Curso de Certificación ACE AccessData Certified Examiner, 14 al 18 de Julio 2014
      • Conferencia Ataques Ciberneticos UNAPEC
      • Conferencia Ataques Amenazas Cibernéticas ITLA
      • Conferencia Ataques Ciberneticos en el CESAC
      • Presentación Soluciones Seguridad Informática e Informática Forense 2014 Hotel Barcelo
      • Curso de DLP Hdlp y Ndlp de Mcaffe, Marzo 2015
    • Reconocimientos
    • Responsabilidad Social >
      • Programa de PasantÍa TechnologyINT
      • Trasferencia de Conocimientos >
        • RANSOMWARE, Todo lo que debe saber.
      • Charlas Sobre Delitos Electronicos y Ataques Cibernticos para Concientizacion Ciudadana
  • Alianzas
  • Capacitación
    • Talleres, Cursos y Seminarios >
      • Taller de Análisis Informático Forense (Windows)
      • Taller de Análisis Informático Forense Avanzado (Linux),
      • Curso de Estrategias de Defensa Frente a Ciberataques contra Sistemas de Automatización y Control Industrial
    • Certificación ACE (AcessData Certified Examiner).
    • Capacitación IN-HOUSE
    • Mentoring
  • Contacto


Consultoría de Pentesting (BlackBox) & IT Controls

​




Objetivo General  


Realizar una Prueba de Penetración de Ciberseguridad (Pentesting) permite enumerar las vulnerabilidades y fallas tecnológicas detectadas, con el fin de establecer un perfil de riesgo tecnológico, con sus recomendaciones y controles a implementar y de esa manera, poder mitigar o reducir las vulnerabilidades y fallas tecnológicas de la empresa.
 
Objetivos Específicos  
​
Ejecutar una prueba de penetración a nivel de seguridad de la información de tipo caja negra sobre los activos tecnológicos de la empresa. Analizar los resultados de las vulnerabilidades y fallas detectadas por la prueba de penetración realizada. Realizar un informe de fallas y vulnerabilidades de seguridad TI en la infraestructura tecnológica actual. Establecer y documentar las recomendaciones, mejores prácticas y acciones correctivas de seguridad de la información a aplicar en la infraestructura tecnológica actual. Asesorar a los principales involucrados (stakeholders) de la empresa a nivel de seguridad de la información, sobre los riesgos tecnológicos y tendencias actuales de Ciberseguridad.  

Alcance
 
Se pretende probar a nivel de seguridad de la información, la infraestructura tecnológica actual de la empresa, con el fin de establecer un perfil de riesgo tecnológico, en base a un análisis de riesgos y recomendaciones (controles), buenas prácticas, estándares y metodologías de seguridad de la información reconocidas a nivel internacional. 
 
 
Metodología General de Trabajo.
​
Pentesting  (Prueba de Penetración de Ciberseguridad)  
Para nosotros iniciar con la descripción de la metodología del Pentesting (Prueba de Penetración de Ciberseguridad), vamos a definir algunos conceptos relacionados a dicho servicio o buena práctica. Ya después de definidos, vamos a indicar la metodología a utilizar para llevar a cabo el Pentesting.
 
Pentesting o Penetration Testing: es la práctica de atacar diversos entornos tecnológicos, con la intención de descubrir fallos, vulnerabilidades u otros fallos de seguridad, para así poder prevenir ataques externos hacia esos equipos o sistemas.
 
Tipos de Pentesting o Penetration Testing:

Pruebas de Penetración de Caja Negra: Donde los pentesters o analistas de seguridad no tienen conocimiento del funcionamiento interno de la infraestructura tecnológica o sistemas, y trabajan con la información que puede conseguir por sus propios medios. 

Pruebas de Penetración de Caja Blanca: En este tipo de pruebas los pentesters o analistas de seguridad tienen total conocimiento del funcionamiento interno del sistema, y trabaja con información que puede tener acceso uno o varios empleados dentro de la organización. 

Pruebas de Penetración de Caja Gris: Donde los pentesters o analistas de seguridad pueden tener conocimiento sobre algunos aspectos del funcionamiento del sistema y de otros no.
 
Amenaza: Agente o circunstancia capaz de explotar una o más vulnerabilidades tecnológicas. Una amenaza puede ser: Un Hacker Informático, Un Virus, Un Troyano, etc.
 
Vulnerabilidad: Un fallo en la seguridad de una aplicación, sistema o hardware, más comúnmente conocido como agujero por donde colarse para hacerse con el control de la aplicación o incluso del equipo al completo. Las vulnerabilidades pueden ser desde un fallo en la programación de una aplicación, una contraseña muy débil u obvia del tipo “1234”, “password” o “contraseña”; o incluso algo tan complejo, como un desbordamiento de un buffer de información del sistema.
 
Ya definidos estos tres conceptos fundamentales, podemos recalcar que nuestra metodología del Pentesting se basa en el Consejo Internacional de Consultores de Comercio Electrónico (EC-Council), dicho consejo es conocido principalmente como un organismo de certificación profesional. Entre sus principales certificaciones están las siguientes y las que poseen nuestros consultores, estan las siguientes:
 
Certified Ethical Hacker -  CEH (Certificado Hacker Ético).  

Picture

Metodología de Recomendaciones, Controles y Mejores Prácticas de Seguridad de la Información​. 

La metodología a utilizar para la recomendación de controles, mitigación de riesgos tecnológicos y mejores prácticas, serán varias: ISO/IEC27001, PCI-DSS, OWASP e ITIL.

El estándar ISO/IEC27001 posee sus 114 controles de seguridad de la información, el estándar de seguridad PCI-DSS posee sus famosos 12 requisitos de seguridad TI, el documento internacional OWASP por su lado, posee el TOP TEN de los riesgos de aplicaciones web y como prevenirlos. Y, por último, la metodología ITIL, famosa por sus mejores prácticas en materia de la gestión de servicios de tecnología de la información.                      
                                                 
Fuentes Web:
​

- ISO/IEC 27001
Enlace: http://www.iso.org/iso/home/standards/management-standards/iso27001.htm

- PCI-DSS (Payment Card Industry Standards)
Enlace: https://www.pcisecuritystandards.org/pci_security/

 -OWASP
Enlace: https://www.owasp.org/index.php/Top_10_2013-Top_10

 ITIL Foundation V3

Picture

Equipo de Consultores  

El personal técnico que realiza las consultorías de technolgoyINT, cuenta con vasta experiencia y conocimientos en el área de infraestructura, redes, seguridad TI, Pentesting y en herramientas de performance y desempeño TI. Este equipo de consultores, cuentan con renombre y alta credibilidad en sus áreas de experticia, utilizando las más recientes y mejores prácticas en materia de seguridad de la información. 
 
Este equipo cuenta, adicional a sus años de experiencia, con un conjunto de certificaciones y estudios superiores en materia de Seguridad de la Información, Infraestructura TI y Ciberseguridad, dentro de las cuales podemos citar:
 
CEH - Certified Ethical Hacker LTP - License Penetration Tester ITIL - Information Technology Infrastructure Library CISA - Certified Information System Auditor CISCO Certified (CCNA, CCNP, CCNA Security) Security Product Specialist (McAfee, Fortinet, CISCO) Management Computer Security Incident Response Team - CSIRT Network Security and Perimetral Security Microsoft Certified Expert  

 
Plan de Trabajo


P
or parte de la Consultoría de Pentesting & IT Controls:

Picture
Picture


​Cronograma de Trabajo  .


A continuación, detallamos un cronograma de trabajo para un pentesting de una infraestructura tecnológica de una MIPYME, cerca de 200 usuarios. Este cronograma variara de acuerdo al tamaño de la Infraestructura de TI de su organizacion.

Picture


Contáctenos.

Tel.     809-685-8883 ( Lunes a Viernes 9:00am a 5:00pm)
Móvil 809-330-1586  ( WhatsApp 365*24*7 )

Powered by Create your own unique website with customizable templates.