¿QUÉ ES UNA EVALUACIÓN DE VULNERABILIDADES?

Una evaluación de la vulnerabilidades, es el proceso de revisión y estimación de todas las posibles debilidades de seguridad en la infraestructura de un sistema de información. Este tipo de evaluación se utiliza para identificar, priorizar y mitigar vulnerabilidades y para minimizar potenciales amenazas a la seguridad. Estas evaluaciones también descubren y analizan las vulnerabilidades dentro del entorno físico de la organización. Los objetivos de una evaluación de la vulnerabilidad pueden desglosarse en tres ideas principales:

Identificar todas las vulnerabilidades
Documentar las vulnerabilidades para su futura identificación y solución
Orientar a los desarrolladores que crean soluciones para esas amenazas
Las evaluaciones de vulnerabilidad deben realizarse regularmente, especialmente cuando se instalan nuevos equipos, se añaden puertos o se introducen servicios. Además, las evaluaciones de vulnerabilidad pueden prevenir ataques al sistema en dispositivos -nuevos y antiguos- debido a amenazas como:

Ataques de inyección, incluyendo ataques XSS y ataques SQL
Configuraciones débiles por defecto, como contraseñas de administración y nombres de usuario fáciles de adivinar
Ataques de malware y programas maliciosos
Herramientas y dispositivos de autenticación defectuosos
Datos sin cifrar

Fuente: Panda Security

Consultorías Seguridad de la Información

Apoyo integral para la implementación de un Sistema de Gestión de Seguridad de la Información, bajo el marco de la Norma Chilena NCh ISO 27.001.

Elaboración de Políticas, Procedimientos, Manuales, Cartillas de Actuación.

Elaboración de Planes de Contingencia.

Análisis de riesgos cibernéticos, y propuesta de Plan Director de Seguridad de la Información. (Identificación, análisis, Evaluación y Apreciación, Tratamiento y Control).

Levantamiento y elaboración de inventario de activos de información.

Talleres y charlas de concientización, tanto para usuarios en general como para profesionales de las áreas de TI.

Análisis de Infraestructuras

Análisis y evaluación de vulnerabilidades, asociadas a los diferentes componentes de la infraestructura tecnológica que soporta los sistemas de información de la organización.

Utilización de puertos y servicios asociados
Configuración de DNS´s
Certificados de Sitios Seguros.

Evolución de sistemas y procedimientos de monitoreo de componentes de plataforma.

Ethical Hacking Pentest

Elaboración, ejecución y análisis de resultados de pruebas de penetración de sistemas y plataformas. Consisten en la simulación o ejecución de ataques en ambientes reales.
Entre otras pruebas de evaluación se efectúan las siguientes:

Control de acceso
Fallos criptográficos
Inyección
Diseño Inseguro
Configuración incorrecta de seguridad
Componentes vulnerables y obsoletos
Fallos de identificación y autenticación
Fallas de integridad de software y datos
Registro de seguridad y fallas de monitoreo
Falsificación de solicitudes del lado del servidor

Ejecución de pruebas internas para identificación, entro otros aspectos de:
Carpetas compartidas, usuarios y privilegios
Evaluación de seguridad de Wifi interna
Utilización de usuarios genéricos
Mal uso de passwords
Probar operación de sistemas internos de seguridad (IDS/IPS)
Evaluar seguridad de Información de clientes
Evaluar seguridad de repositorios de documentos
Evaluar la construcción y uso de servicios de integración
Evaluar servidores y dispositivos no parchados

Análisis de Vulnerabilidades

Implementación y ejecución de pruebas de calidad de código y de vulnerabilidades en sistemas de información en desarrollo y en ambientes de producción.
Análisis y evaluación de vulnerabilidades en aplicaciones y sistemas de información.
Análisis y evaluación de vulnerabilidades en plataformas y componentes de las mismas.

Análisis Forence Informático