Si su red empresarial está conectada al internet, si usted maneja aplicaciones web que guardan información confidencial o es un proveedor de servicios; el análisis de vulnerabilidades informáticas debe ser su primera preocupación Según el punto de vista de los especialistas de análisis de riesgos informáticos, las empresas están dependientes sobre la tecnología para conducir las operaciones del negocio, pero las mismas empresas deben tomar las medidas para evaluar y asegurar los riesgos de seguridad o vulnerabilidades informáticas.
Una vulnerabilidad informática es considerada como un riesgo informático y es una característica de un activo de información. Las vulnerabilidades informáticas pueden ser detectadas con pruebas de vulnerabilidad o test de intrusión. Cuando se materializa un riesgo informático y hay un hueco de seguridad que pueda ser explotado, hay una posibilidad de ocurrencia de cualquier tipo de daño relacionado con la confidencialidad, integridad, disponibilidad y autenticidad de los datos empresariales.
En la medida que la empresa tenga clara esta identificación de riesgos informáticos podrá implementar las medidas preventivas y correctivas con la ayuda de una empresa de análisis de vulnerabilidades informáticas que garanticen soluciones preventivas y correctivas. Los soluciones preventivas y correctivas deben mantener el equilibrio entre el costo que tiene resolución de la vulnerabilidad, el valor del activo de información para la empresa y el nivel de criticidad de la vulnerabilidad. Además escaneo de vulnerabilidades externas e internas junto con las medidas correctivas da confianza a los clientes sobre sus datos y da una ventaja competitiva a su empresa.
Servicio de escaneo de vulnerabilidades externas
El servicio de escaneo de vulnerabilidades externas evalúa infraestructura de tecnología de una empresa desde la perspectiva de un hacker a través de internet. El servicio sólo requiere las direcciones de la red, aplicaciones empresariales; se necesita nada para ser instalado. Los expertos de empresas de análisis de vulnerabilidades informáticas deben enfocar sobre nuevos tipos de ataques externos, vulnerabilidades de día cero y su metodología de hacer pruebas de vulnerabilidades conocidas.
Servicio de escaneo de vulnerabilidades internas
El servicio de escaneo de vulnerabilidades internas evalúa el perfil de seguridad de la empresa desde la perspectiva de alguien interno, empleado o de alguien que tiene acceso a los sistemas y las redes empresarial. Normalmente el servicio está personalizado por requisitos de la empresa ya que cada empresa tiene diferentes tipos de redes y aplicaciones internas. Los expertos de empresas de análisis de vulnerabilidades informáticas deben simular a un hacker externo a través de Internet o alguien interno con privilegios normales. Además deben enfocar sobre nuevos tipos de ataques internos, vulnerabilidades de día cero y su metodología de hacer pruebas de vulnerabilidades conocidas.
Metodología de análisis de vulnerabilidades informáticas (PESA)
Nuestra metodología de análisis de vulnerabilidades informáticas, está enfocada sobre protección total de los recursos (redes, aplicaciones, dispositivos móviles) que estén dispuestos para un posible ataque por parte de personas internas o externas a la entidad. Asimismo la metodología consiste de los procesos iterativos, debido a que la tecnología nunca deja de evolucionar y cada vez más se generan nuevos riesgos para las empresas. La metodología de análisis de vulnerabilidades informáticas (PESA) ha sido estructurada en diferentes módulos.
Modulo: Planear
Una buena parte del éxito del manejo de nuestra metodología se comienza a desarrollar en el modulo de planeación. En ese modulo establecemos los requerimientos, los planes, las prioridades y implantamos la metodología.
Modulo: Evaluar
En este modulo realizamos análisis de los datos, redes, aplicaciones, bases de datos y dispositivos móviles con servicios de escaneo de vulnerabilidades. Siguientes son algunos de los pasos en el modulo de evaluación:
- Hacemos análisis de los posibles riesgos al nivel de negocios, identificamos las amenazas y las vulnerabilidades tanto físicas como lógicas.
- Revisamos configuración de los sistemas operativos, las aplicaciones empresariales, archivos de registros y los dispositivos que hacen parte de la arquitectura de red.
- Autentificación de los usuarios y controlamos sus accesos. Monitoreamos las actividades de los usuarios.
- Análisis de los servicios que presta la empresa o un tercero a la empresa.
- Revisión de los planes, políticas de seguridad y planes de contingencia establecidos.
- Utilizamos nuestras scripts propias, pruebas de vulnerabilidad manual, herramientas propietarias, comerciales y de código abierto para hacer evaluación de la vulnerabilidad de la red, equipos de la red y dispositivos móviles.
- Utilizamos nuestras scripts propias, revisión de códigos, pruebas de vulnerabilidad manual, herramientas propietarias, comerciales y de código abierto para hacer evaluación de la vulnerabilidad de la aplicación y de base de datos. Hacemos pruebas de caja negra y caja blanca para encontrar los agujeros de seguridad.
Módulo: Seguro
En este modulo entregamos el plan de seguridad, plan de contingencia e implementamos los controles de seguridad con una efectiva relación costo-beneficio. Trabajamos con equipo del cliente para asegurar la arquitectura de la red, equipos conectados a la red, dispositivos móviles y aplicaciones empresariales. Capacitamos empleados del cliente con el curso de análisis de riesgos informáticos y el curso de análisis de vulnerabilidades informáticas.
Módulo: Auditar
El motivo de este modulo es verificar la implementación y el buen desempeño de los sistemas de seguridad. En la auditoria se determina si los sistemas de seguridad salvaguardan los activos y mantiene la confidencialidad, integridad, disponibilidad de los datos. Con centros de investigaciones en México, Estados Unidos e India, Instituto Internacional de Seguridad Cibernética proporciona soluciones, servicios, capacitaciones análisis de riesgos informáticos.