Servicios

NUESTROS SERVICIOS

Brindamos los siguientes servicios para mantener la seguridad de la informacion en su empresa

CUMPLIMIENTO NORMATIVO
AUDITORIAS
PENTESTING

TIPOS PENTEST

5fb988-black-500x500
CAJA NEGRA

Entorno completamente desconocido

Esta prueba se realiza sin conocimiento alguno de la infraestructura de la empresa a evaluar, se desenvuelve en un escenario completamente desconocido que permite evaluar especificamente como se encuentra el nivel de seguridad perimetral de la compañia, simulando un escenario de un ciberataque externo, utilizando tacticas de ingeniería social que puedan afectar al personal interno de la empresa y evaluar su nivel de concientizacion ante un ataque cibernetico.

5fb988-grey-500x500
CAJA GRIS

Entorno poco conocido

Esta prueba combina los elementos de caja negra y caja blanca, el personal que llevara a cabo la evaluacion de seguridad obtiene poco conocimiento de la infraestructura a intervenir, no se obtiene detalles de acceso a la red interna de la compañia y la informacion no es completa, permitiendo emplear un enfoque de ataques externos y evaluaciones internas de las compañias.

5fb988-white-500x500
CAJA BLANCA

Entorno completamente conocido

Esta prueba se realiza en un entorno donde se tiene completo conocimiento de la infraestructura a evaluar, acceso a la red interna, acceso al codigo fuente de la aplicacion, entre otros que sean de utilidad para llevar a cabo esta prueba. Al utilizar este enfoque la compañia obtiene mayor informacion de como se encuentra internamente su nivel de seguridad y le permite remediar a tiempo todas las vulnerabilidades y brechas de seguridad que sean detectadas, antes de que un ciberdelincuente las pueda explotar.

metasploit
El pentesting permite evaluar el nivel de concienciacion que tienen los empleados de las organizaciones y analizar la seguridad de los equipos de computo, servidores, switches, aplicaciones y redes, entre otros. Inicialmente, se identifican las vulnerabilidades presentes en cada uno de estos componentes, validando su nivel de criticidad y determinando cuales son las mas propensas a ser explotadas, lo que podria representar una brecha de seguridad critica para la empresa.

IMPLEMENTACION NORMATIVAS ISO

SGSI-646x680

ISO 27001
Diseñamos un SGSI, Sistema de Gestion de Seguridad de la Informacion, que consiste en el conjunto de politicas, procedimientos y directrices junto a los recursos y actividades asociados que son administrados por una organizacion, en la busqueda de proteger sus activos de información esenciales. Es un enfoque sistematico para establecer, implementar, operar, monitorear, revisar, mantener y mejorar la seguridad de la informacion de una organizacion y lograr sus objetivos comerciales y/o de servicio.
iso27002-646x680

ISO 27002
Confeccionamos la Declaracion de aplicabilidad, conocida tambien como SoA, establece los riesgos de informacion y los controles de seguridad que son relevantes y aplicables al SGSI de su organizacion, como resultado de la determinacion de sus evaluaciones periodicas del riesgo. La funcion esencial del documento SoA es evidenciar que los controles recomendados en el Anexo A de ISO/IEC 27001 se aplican cuando están dentro del alcance y son apropiados para su organización o, por el contrario, no se justifica el esfuerzo de su aplicacion por diferentes decisiones de gestion estrategicas o de coste/efectividad que deben ser formalmente registradas y justificadas.
iso27032-646x680

ISO 27032
Permite establecer una serie de directrices de ciberseguridad para proteger la informacion, gestionar riesgos y amenazas ciberneticas, y mantener la confianza en entornos digitales. La norma se enfoca en proteger la informacion confidencial, integra y disponible, incluyendo datos personales, propiedad intelectual, informacion financiera y otros activos criticos. Se establecen directrices para identificar, evaluar y mitigar los riesgos de ciberseguridad, incluyendo amenazas como malware, phishing, ataques de denegacion de servicio (DDoS), ransomware y otras vulnerabilidades. La norma ayuda a las organizaciones a desarrollar la capacidad de recuperarse de forma rápida y efectiva ante un incidente de ciberseguridad.
iso22301-646x680


ISO 22301
La norma ISO 22301 es un estandar internacional que establece los requisitos que deben cumplir los sistemas de gestion de la continuidad del negocio (SGCN) para asegurar que una organizacion pueda continuar operando durante y despues de situaciones de crisis, como desastres naturales, ciberataques, pandemias, conflictos armados, riesgos relacionados con la cadena de suministro o cualquier otra situacion que pueda interrumpir sus actividades. Su empresa podra establecer los requisitos para desarrollar planes de respuesta ante situaciones de crisis que permitan a la organizacion responder de manera rapida y efectiva en caso de emergencias.
riesgos-646x680


ISO 31000
Establece un marco de referencia que tiene como objetivo ayudar a las organizaciones a integrar la gestión del riesgo en todas sus actividades y funciones principales. Se establecen controles y medidas para reducir la probabilidad de que ocurran los riesgos y minimizar su impacto. La gestion de riesgos ayuda a las organizaciones a tomar decisiones informadas y basadas en datos, lo que conduce a resultados mas efectivos y predecibles. Al gestionar de manera proactiva y sistematica los riesgos, las organizaciones pueden proteger sus activos, recursos y reputacion frente a posibles perdidas o daños. Las organizaciones que gestionan eficazmente sus riesgos pueden aprovechar las oportunidades y enfrentar los desafíos de manera mas eficiente, lo que les permite ser mas competitivas y sostenibles en el mercado.
1648583150976-646x680


ISO 27005
Establecer un procedimiento documentado de evaluacion de riesgos que explique como se identifican, analizan (p. ej. en base a las posibles consecuencias y probabilidades de ocurrencia), evaluan (p. ej. aplicando criterios específicos para la aceptación del riesgo) y priorizan los riesgos relacionados con los activos de informacion más relevantes del alcance (p.ej. en atencion a niveles de riesgo definidos)