Syswarp - Seguridad Informática

Security Assessment Stage

Information Security & Business Continuity Analysis.

Information Security Risk Assessment.
Diagnóstico externo orientado tanto a la identificación de las fallas y vulnerabilidades de seguridad como a la determinación de los principales escenarios de riesgos y amenazas, en función de la actividad y características particulares de la organización.

Information Security Penetration Test.
Nos basamos en un modelo "real" de intrusión (Ethical Hacking), utilizando para tal fin una amplia gama de técnicas y metodologías de análisis, las cuales son desplegadas en forma remota sin solicitar ningún dato previo de las redes, equipos y sistemas a ser evaluados.

Client-Side Security Penetration Testing.
Desplegamos un conjunto de técnicas de análisis sobre las redes internas de la organización, a los efectos de identificar todo tipo de fallas y vulnerabilidades a nivel de sistemas y networking, desde la visión in-sider.

Policies & Process Analysis.
Analizamos el real "cumplimiento" de las políticas, normativas y procedimientos de seguridad de la organización. Básicamente es un GAP análisis, pero desde el punto de vista técnico/operativo, siendo las distintas pruebas transparentes para los usuarios internos.

Test Contingence Plan.
Cada organización tiene diversos planes ante contingencias de seguridad. Nuestro Test representa un modelo de evaluación "activa" sobre los mismos, probándolos con las mismas técnicas y herramientas del atacante, pero de modo controlado y coordinado.

Application & Software Security Audit.
Source Code Security Audit: Análisis sobre el "código fuente" de sus aplicaciones, a los efectos de identificar errores desde el punto de vista de la seguridad, como así también falencias en el diseño y la implementación.

Reverse Engineering.
El objetivo es determinar el funcionamiento, a la vez de identificar vulnerabilidades de un determinado servicio, sistema o aplicación.

Los resultados esperados son los siguientes:

Identificar las vulnerabilidades de seguridad, derivadas de malas implementaciones. Identificar fallas en el diseño del esquema de seguridad y determinar el impacto que las mismas tienen en la infraestructura de sistemas. Evaluar la seguridad contra ataques reales y exponer los diferentes escenarios de riesgos a los cuales se encuentra expuesta.

Application Web Security Audit.
Este servicio incluye un paquete de pruebas que se ejecutan en forma manual, para comprobar el estado de seguridad de una aplicación o sitio Web, utilizando todas las técnicas y metodologías que utilizaría un atacante real. Se busca detectar y explotar errores de programación en las páginas web dinámicas, comportamiento del back-end (bases de datos y otros), plantear los escenarios de riesgos existentes y las recomendaciones para "solucionar" los problemas detectados.

Nos basamos en las metodologías OWASP. Este servicio también puede utilizarse para garantizar el cumplimiento de PCI DSS v 1.2 requisito 11.3.

Web Services Security Audit.
Actualmente muchas compañías trabajan en la nube y utilizan tecnologías de Web Services (Por Ejemplo SOAP, XML, REST, etc).

Con este servicio se busca a la vez de descubrir "vulnerabilidades" en los canales de comunicación, en las aplicaciones y su programa- ción, presentar un plan de trabajo para la "securización" de las mismas.

Data Base Security Audit.
Incluye análisis de los controles de autenticación y autorización del sistema de Base de Datos, pistas de auditoría, seguridad en los esquemas, usuarios y permisos, e inyección de código, entre otros. Se realizan auditorias no solo sobre el DBMS, sino también la seguridad interna de la Base de Datos, donde se analizan los esquemas, triggers, store procedures y funciones.

Stress Test.
Diagnóstico de seguridad, basado en inducir a un sistema, servicio y/o aplicación a trabajar en situaciones de stress, a los efectos de efectuar una medición de su comportamiento y así determinar la existencia de fallas y vulnerabilidades, que puedan impactar en la performance de los mismos.

Technology Security Test.

Security Technologies Assessment.
Asesoría sobre los distintos productos de seguridad existentes en el mercado. Este servicio puede abarcar:

./Asesoramiento para selección de un producto específico, que se adapte a las necesidades de su organización.
./Diseño de un esquema seguro de infraestructura de IT.
./Configuración de los dispositivos y Hardening de Seguridad.
./Pruebas de "seguridad", sobre los productos y dispositivos de seguridad de su organización.

VPN Security Assessment.
Evaluación de la seguridad sobre los mecanismos de conexión, autenticación e infraestructura IT (Information Technology), de los servicios de acceso remoto Virtual Private Network.

Wireless Security Assessment.
Análisis exhaustivo de las redes inalámbricas de su organización. Dentro de esta gama de servicios se incluyen:

./Pruebas de penetración.
./Evaluación de configuraciones y esquemas de seguridad.
./Búsqueda de redes no autorizadas.

Mobile Security Assessment.
Asesoramiento de seguridad sobre los dispositivos y aplicaciones móviles. El objetivo es conocer el estado de la seguridad de los clientes y aplicaciones móviles.

Se puede incluir según el requerimiento:

./Ingeniería Reversa.
./Análisis de arquitectura e infraestructura de la solución Mobile.
./Pruebas de penetración sobre los servicios brindados para dispositivos móviles, sean aplicaciones instalables o servicios basados en WEB.

VoIP Security Assessment.
El servicio es a medida, le permitirá obtener una visión detallada de la seguridad de las comunicaciones basadas en tecnologías de VoIP (H323, SIP, etc.). Puede incluir distintos puntos:

./Asesoramiento de infraestructura de comunicaciones.
./Auditoría de seguridad.
./Confiabilidad y confidencialidad de las comunicaciones.
./Pruebas de penetración sobre IVR.
./Hardening de Seguridad.

Network Architecture Security Assessment.
Diagnóstico enfocado en el diseño de su arquitectura tecnológica a nivel de redes y comunicaciones, para la posterior presentación de la "solución", basada en la re-arquitectura desde el punto de vista de la seguridad, contemplando el aspecto "operacional" que su organización necesite en función de su actividad de negocio.

Vulnerability Risk Assessment (VRA).
Consiste en pruebas "no intrusivas", mediante herramientas automatizadas y procesos manuales, con la finalidad de detectar vulnerabilidades en sus sistemas de información y comunicaciones. Este servicio incluye, las recomendaciones generales para aplicar y puntuales sobre cada vulnerabilidad detectada.

Cyber-Attacks Security Test.

Defacement & Anti-Defacement Tests.
Utilizando las mismas técnicas y metodologías que un atacante real, el servicio permitirá comprobar el estado actual y real de seguridad sobre sus websites corporativos. Este análisis incluye la descripción de todas las "vulnerabilidades" detectadas y las recomendaciones para su solución.

Antivirus Bypass Test.
Mediante complejas técnicas de intrusión y evasión se pasan por alto los controles de los antivirus corporativos, con la finalidad de robustecer los puntos críticos que puedan descubrirse.

Virus/Worms.
Prueba de ingeniería social mediante la infección de "virus". Se realizan test de distribución de agentes "especialmente diseñados" y a medida de su organización para detectar no solo la seguridad de sus dispositivos y productos de seguridad, sino también el grado de respuesta del "factor humano" de la organización.

Para las pruebas se utilizan distintos medios de distribución:

./Físicos (memorias flash USB, medios ópticos, etc).
./Lógicos (Mailing, MiTM, Web Attack, DNS Cache Poisson, etc).

Spam Filter & MTA Security.
Este servicio evalúa el estado de seguridad y configuración de los servicios de correo de su organización, evaluando también los dispositivos de seguridad asociados y sus respuestas (Ejemplo: Spam Filters, Antivirus, IDP, etc).

Spear Phishing.
Prueba de ingeniería social, que incluye suplantación de identidad, dirigida al personal de su compañía. Mediante distintas técnicas de persuasión se incita a los usuarios internos a revelar información sensible (contraseñas, accesos, etc.). Este servicio le permitirá evaluar no solo el factor humano (nivel de concientización), sino también el grado de protección con el que cuenta su organización.

Mail Clients Security Test.
Este servicio busca analizar el grado de seguridad de los clientes de correo utilizados por los usuarios. Mediante distintas técnicas se ejecuta código arbitrario en las cuentas analizadas, con la finalidad de detectar todas las vulnerabilidades en los clientes de correo y la seguridad de los mismos.

Information Fraud.
Investigación y análisis de las diversas fallas de seguridad, que permitan efectuar fraudes a la organización. Este test especializado de la seguridad, puede realizarse de modo general o bien específico sobre una tecnología o un servicio determinado. Por ejemplo; Home Banking.

Information Sabotage.
Investigación y análisis de las distintas metodologías existentes para efectuar sabotajes a la organización; financieros, operativos, etc. A partir de este conocimiento, la organización podrá efectuar las mejoras de seguridad que permitan disminuir las amenazas identificadas y así optimizar la gestión del riesgo.

Information Intelligence. Investigación y análisis de las distintas metodologías existentes que permitan el robo de información sensible de la organización. A partir de este conocimiento, la organización podrá robustecer su esquema general de seguridad.

Identity Theft.
Investigación y análisis de las distintas metodologías existentes que permitan el robo de la identidad corporativa, para el cometimiento de actividades ilícitas contra los intereses de la organización.

Professional Services Dedicated.

Home & Firm Banking Security Test.
Análisis exhaustivo de la infraestructura de los sistemas de Banca en Línea. Puede incluir pruebas y asesoramiento de seguridad en:

./Sistemas de banca en línea.
./Análisis y auditoria del CORE Bancario.
./Auditoría de seguridad de banca en línea y todos sus componentes.

ATM Security Auditing.
Este servicio permite auditar su infraestructura ATM. Se pueden realizar distintos análisis:

./Auditoría y controles de seguridad del ATM.
./Seguridad de las comunicaciones y redes involucradas en la infraestructura ATM.
./Ingeniería Reversa.

E-commerce Security Test.
Análisis e identificación de las diversas fallas de seguridad, que permitan afectar la solución de E-commerce de la organización, y por ende su "core" de negocio.

Telecommunications & Internet Services Security Test.
Análisis de seguridad enfocado a determinar los riesgos operativos, como así también las intrusiones que tengan como finalidad utilizar los sistemas de información y comunicaciones de las TELCO, para fines ilícitos; interferencia en el tráfico de datos, acceso a datos de clientes, etc.

Forensic Analysis.
En caso de haber sido víctima de un ataque o bien sospechar que pueda estar ocurriendo, con este servicio se podrá detectar y/o reconstruir el suceso, buscando como objetivo principal los orígenes lógicos/físicos del mismo como así también determinar las motivaciones del atacante; además de dimensionar el alcance y grado de la intrusión.

Security Planning Stage

Technology Infrastructure Planning.

Security Architecture Design.
Diversos y dispares elementos deben tomarse en consideración al momento de definir estrategias de implementación de la seguridad informática, incluyendo su interacción mutua. El balance adecuado entre costo y efectividad solo se puede lograr mediante un análisis adecuado y un diseño calculado a la medida del entorno y la necesidad. SysWarp posee vasta experiencia en la materia, y provee servicios a empresas en formación o ya consolidadas, donde la infraestructura existente debe ser reutiliza- da de la forma más eficiente posible.

Security Technologies Evaluation & Selection.
La evaluación y selección de tecnologías adecuadas es un paso crítico del Diseño de su Infraestructura de Seguridad. Dichas tecnologías incluyen lenguajes de desarrollo, sistemas operativos, soluciones middleware, networking, etc. En muchos casos, el proceso evaluatorio incluye "pruebas de concepto", donde SysWarp acompaña a su organización en la definición de objetivos y evaluación de los resultados.

Software & Applications Development Planning.

Development Cycle Design.
La Seguridad Informática no es un elemento más dentro de un check-list. La Seguridad como tal, debe estar embebida en cada una de las etapas del ciclo de desarrollo, incluyendo el mantenimiento posterior a la puesta en producción. SysWarp provee entrenamiento, herramientas y metodologías para lograr este objetivo.

Threat Modelling, Design & Architecture.
Brindamos tanto la consultoría, herramientas y el acompañamiento necesario para completar estos dos elementos, imprescindibles en cualquier planificación de Desarrollo. Ya que el "modelado de amenazas" permite prever el comportamiento de sus aplicaciones ante amenazas de cualquier tipo, y el análisis de riesgo le proveerá de un plan de contingencia en caso de que alguno de los elementos involucrados en el Desarrollo (RRHH, hardware, cambio de reque- rimientos, etc) devenga en un atraso o incluso detención total de su proyecto.

Development & Quality Assurance.
Desarrollo y "Control de Calidad" están intrínsecamente ligados. Habitualmente, el departamento de Control de Calidad verifica la correcta implementación en función del requerimiento del negocio, pero no la "seguridad" embebida en la solución.

Compliance.
Cada escenario, cada mercado, cada target ha sido de una manera u otra incluido en ciertos "estándares", que aseguran el correcto desenvolvimiento de su aplicación como también la homologación a obtener. Obviamente esto impacta directamente en el éxito de sus negocios. SysWarp acompaña a su organización, a través de cada una de las etapas necesarias para obtener dichas calificaciones.

Consulting Services.
Posterior al análisis e identificación de las vulnerabilidades y fallas de seguridad, las organizaciones buscan proceder inmediatamente a la remediación de las mismas. Lo cual es comprensible. Pero debe comprenderse que además de los problemas puntuales, es necesario abordar las cuestiones de fondo, para robustecer de modo "real" el esquema de seguridad de la información.

Procedures, Policies Planning, Standards.

ISO/IEC 27.001 (ISMS).
Alinear las políticas, normas y procedimientos de seguridad a las "buenas prácticas" internacionales, es fundamental para generar previsibilidad y sustentabilidad al negocio de las organizaciones. Es por ello que nuestros servicios de planificación de la seguridad, se basan en las normas ISO y en el ISMS; Sistema de Gestión para la Seguridad de la Información.

ISO/IEC 27.002 Management System Development.
En base a la actividad de la organización, adaptamos en el marco de un sistema de mejoras continuas las "buenas prácticas". Buscando siempre un equilibrio entre los escenarios de riesgos existentes, la actividad de la organización y su capacidad de inversión.

DRP (Disaster Recovery Planning).
Ante la ocurrencia de un desastre (ya sea natural, físico o lógico) las organizaciones deben contar con un Plan de Recuperación de datos y operaciones, a efectos de brindar "sustentabilidad" a su negocio. Para ello, desarrollamos un proceso que cubre tanto el software, el hardware y los datos críticos, ante un siniestro.

BCP (Business Continuity Planning).
En base a la aplicación de una metodología interdisciplinaria, desarrollamos un Plan de Restauración de las funciones críticas de la organización, tanto en forma parcial como total, dentro de un tiempo predeterminado, ante la ocurrencia de una interrupción de los servicios o bien de un desastre y/o atentado.

Executive Security Planning.
Más allá de los distintos planes e implementaciones técnicas, las organizaciones deben contar con una "visión holística", que les permita gestionar la seguridad de modo efectivo. Para ello, alineados con la toma de decisiones a nivel ejecutivo, desarrollamos un "Plan Estratégico" respecto de la seguridad de sus sistemas y activos de información.

Security Implementation Stage

Policies, Procedures, Standards, Baselines & Guidance.
Asistencia técnica para la implementación programática, de todas las normas, procedimientos y políticas de seguridad desarrolladas para la organización.

ISO/IEC 27.002 Management System Implementation.
En base a los dominios y directrices establecidas por la norma, se procede a la implementación de todos los controles y cambios necesarios, brindándole a la organización una nueva realidad sobre la gestión del riesgo respecto de la seguridad sobre sus sistemas y activos de información.

General Controls Implementation Guidance.
Posterior a las auditorias de seguridad, se implementan una serie de mejoras y cambios respecto de las configuraciones en equipos de networking y sistemas deseguridad pasivos. Como así también en las políticas de gestión de los mismos.

System & Networking Hardening.
En base a un plan de trabajo consensuado, se llevan adelante todas las implementaciones de seguridad. Este proceso de mejoras es realizado de forma mixta; con recursos humanos de la organización y recursos de nuestra empresa, a los efectos de agregar "valor", a partir de la transferencia inmediata de conocimiento.

Software & Applications Re-engineering.
Una vez identificadas las fallas y errores de programación, desde el punto de vista de la seguridad, se procede a la remediación de los mismos. Para lo cual se despliega un modelo de sinergia con el área de desarrollo de la organización, donde el esquema entiende sobre > propuesta + cambios + validación.

Security Management Stage

Permanent Advisory.
Servicio dedicado al área de seguridad de la organización, con el detalle de las nuevas fallas y vulnerabilidades descubiertas sobre las tecnologías de la información y comunicaciones. Cómo así también, sobre las novedades existentes en técnicas y metodologías de ataque e intrusión utilizada por los cyber-criminales.

Information Security Outsourcing.
Contamos con una amplia gama de profesionales disponibles, que pueden resolver su falta de recursos humanos especializados. Nuestros profesionales se encuentran sumamente capacitados, y cuentan con el respaldo, de un equipo de trabajo interdisciplinario que potencia sus habilidades particulares.

Managed Information Security Monitoring & Help Desk.
Servicio especializado en el monitoreo 24/7 de la seguridad de sus redes y sistemas de información. Respuesta en tiempo real ante incidentes de seguridad informática, desde nuestro SOC (Security Operations Center), a la vez de asistir técnicamente a vuestra área de seguridad, en todas las inquietudes que se vayan sucediendo, por medio de canales seguros de comunicación.

Information Security Awareness Raising Course.
El eslabón más débil de toda cadena de seguridad, es el factor humano. Para ello, disponemos de un programa de actividades de capacitación, enfocado en la "concientización de seguridad" a nivel de usuarios.

Information Security Technical Training Course.
Disponemos de una amplia gama de cursos especializados de capacitación, desde niveles básicos hasta los más avanzados. Entre los que se destacan:

./Best Practices on Secure Development.
./Secure Web Development.
./Wireless Security Attacks.
./Forensic Analysis.

Security Compliance Stage

Payment Card Industry (PCI) Security Standards.
Diagnóstico de cumplimiento del estándar PCI, a la vez de asistir a la organización en la elaboración de la documentación relacionada a los requerimientos del mismo estándar. Como así también en las mejoras que eventualmente sean necesarias efectuar.

Supervisory Control & Data Acquisition (SCADA) Systems.
Análisis de riesgos y amenazas orientado específicamente a la Infraestructura Crítica Civil, bajo el sistema SCADA; diagnóstico + mitigación de fallas + validación de las mejoras, para la seguridad operacional y el cumplimiento de las normas y estándares del mercado.

Regulatory (SOX + HIPAA + GLBA + NAIC, etc).
Diagnóstico de cumplimiento, sobre las regulaciones existentes en cada mercado. Estos análisis son de carácter periódico y le ofrecen a la organización una clara visión de los cambios, re-adecuaciones e implementaciones a realizar para el normal y seguro desempeño de sus actividades.

European Union Directive (95/46/EC).
Asistencia técnica y legal de cumplimiento, para la protección de los datos personales, según la legislación vigente.

Third-Party Assessments.
Asistencia técnica y ejecutiva para el análisis comparativo y la evaluación de proyectos de seguridad, de modo objetivo. Estamos calificados como QSA (Qualified Security Assessor) y ASV (Approved Scanning Vendor).

ISO/IEC 27.002:2005 GAP Analysis.
Análisis de cumplimiento respecto de la norma internacional en seguridad de la información, a efectos de determinar que dominios y aspectos de la normativa se están cumpliendo y cuáles no. Para posteriormente realizar las mejoras necesarias, en función del negocio de la organización.