Seguridad

Análisis de Seguridad

El espectacular avance de la Informática ha abierto las puertas a nuevas posibilidades de delincuencia antes impensables, en este sentido puede ser el objeto del ataque o el medio para cometer otros delitos, por lo que se hace necesaria su protección mediante una legislación que ha de acercarse lo más posible a los distintos medios de protección ya existentes, creando una nueva regulación solo en aquellos aspectos en los que sea imprescindible.Un análisis de las legislaciones de diversos países arroja que las normas jurídicas puestas en vigor están dirigidas a proteger la utilización abusiva de la información reunida y procesada mediante el uso de computadoras, e incluso en algunas de ellas se ha previsto formar órganos especializados que protejan los derechos de los ciudadanos amenazados por los ordenadores.De manera general existe un criterio uniforme en cuanto a la necesidad de prevenir y regular este tipo de conductas delictivas derivadas del uso de los sistemas informáticos y los países de forma independiente se han proyectado por su legalización y así contrarrestar su constante agudización.En nuestro país no se le ha dado un tratamiento diferenciado partiendo de que no están definidas como tales en nuestra Ley Penal y en consecuencia a dichas conductas son aplicables, un conjunto de figuras delictivas tal y como están reguladas en nuestro Código Penal vigente.

Por otra parte nuestro trabajo de auditoria va a procurar establecer los problemas de seguridad que su estructura de red pueda engendrar, así como su resolución. La proliferación de las nuevas tecnologías en las organizaciones conlleva también la proliferación de nuevos peligros. Ya no son sólo los ataques y sabotajes informáticos desde el exterior, sino las infracciones desde dentro, las producidas por los propios empleados, y contra las que las organizaciones son, al parecer, más vulnerables.La palabra auditoría viene del latín auditorius y de esta proviene auditor, que tiene la virtud de oir y revisar cuentas, pero debe estar encaminado a un objetivo específico que es el de evaluar la eficiencia y eficacia con que se está operando para que, por medio del señalamiento de cursos alternativos de acción, se tomen decisiones que permitan corregir los errores, en caso de que existan, o bien mejorar la forma de actuación. Este tipo de soluciones protegen los puntos finales de los riesgos de los hackers, worms, spyware y otras amenazas a las que están expuestos los equipos internos y los que se conectan de forma remota.Somos conscientes que la velocidad de los cambios tecnológicos hacen que la seguridad de la información(activo tecnológico de las empresas) se vuelva más sensible a los ataques externos. 

La Auditoría consistirá sobre:

  • Estudiar y evaluar la política de seguridad a seguir dada una estructura de red
  • Despliegue de DMZs (Demilitarized Zones)
  • Estudio para la implementación de VPNs (Virtual private Network)
  • Aislamiento/protección de los servidores de base de datos control de acceso a partir de las redes de usuarios internos
  • Estudio para la implementación de IDS (Intrusion Detection System), antivirus y antispam
  • Determinar los sistemas operativos más adecuados a cada puesto, segun su función
  • IPs públicas o NAT

La auditoría consiste en dos jornadas in situ, más 5 días para el estudio y elaboración del análisis.

Estudio de la topología y uso de su Red

Test de intrusión

  • Buffer overflows - Desbordamiento de pila o segmento de datos
  • Cross Site Scripting (XSS) de sus aplicaciones
  • Web SQL Injection de sus aplicaciones Web
  • DNS cache Poisoning - Envenenamiento de caché DNS
  • Evasión de IDS - Intrusion Detection System Evasion
  • Evaluación de Reglas de Cortafuegos (Firewall)
  • Evaluación de Reglas de IDS
  • SMTP - relay, spam, virus, etc
  • Fuga de información - WHOIS, cabeceras servidores

Por eso, nuestros trabajos incluyen soluciones de protección de Datos mediante la encriptación del disco duro, control de puertos de almacenamiento extraíble como USBs, funciones de control de contenido, autenticación, auditoría y control centralizado.