Auditoría de seguridad - Servicios de seguridad informática y hacking ético
Mejorar la seguridad de sus sitemas informáticos, prevenir fugas de información y garantizar la disponibilidad de sus sitemas informáticos es nuestra prioridad
Mejorar la seguridad de sus sitemas informáticos, prevenir fugas de información y garantizar la disponibilidad de sus sitemas informáticos es nuestra prioridad

La auditoría de seguridad es un servicio con el que ayudar a mejorar la seguridad de los sistemas informáticos, prevenir fugas de información y garantizar la disponibilidad de los sistemas informáticos.

En Tarlogic nos hemos centrado en dos grandes áreas estratégicas para su negocio: La ciberseguridad de la información y las soluciones de inteligencia.

Sobre estas áreas hemos construido nuestro nuestro portfolio de soluciones profesionales. Nuestros factores diferenciadores son la gran especialización y calidad técnica de nuestro equipo, todos ellos profesionales de primer nivel, y la alta inversión en investigación y desarrollo para estar al día de las técnicas de seguridad punteras con las que reducir los riesgos de ataques informáticos.

Existen diferentes enfoques para abordar una auditoría de seguridad IT o “hacking ético” de los activos de una organización. Tarlogic hace uso de metodologías de revisión de seguridad reconocidas a nivel internacional, como es el caso de OSSTMM, NIST SP 800-115,  OWASP y OWISAM para garantizar la seguridad de los activos de nuestros clientes.

Dependiendo de sus necesidades, Tarlogic propone la realización de auditorías de seguridad o tests de intrusión. Una auditoría de seguridad se centra en la identificación y evaluación de vulnerabilidades, mientras que un test de intrusión suele incluir una verificación más activa de las vulnerabilidades detectadas así como su exploitación

Tarlogic se apoya en las métricas de seguridad CVSS, siguiendo los siguientes enfoques:

AUDITORÍA DE SEGURIDAD CAJA NEGRA

Auditoría de seguridad caja negra

Auditoría de Caja Negra: Se denomina “caja negra” a la auditoría de seguridad, o test de intrusión, en la que el auditor no posee conocimientos de la infraestructura tecnológica subyacente.

Esta revisión de seguridad es ideal para simular ataques realizados por parte de personal externo a la organización y conocer el nivel de exposición a un ataque. En este tipo de revisión de seguridad el equipo de auditores tampoco dispone a priori de usuarios con los que interactuar con las aplicaciones a analizar.

AUDITORÍA DE SEGURIDAD CAJA BLANCA

auditoría de seguridad caja blanca

Auditoría de Caja Blanca: Es una auditoría de seguridad más exahustiva. En ella, se facilita información técnica sobre los activos a auditar incluyendo, según los activos analizados, información tal como usuarios, contraseñas y mecanismos de seguridad existentes.

Con este enfoque el auditor no necesita dedicar un esfuerzo extra a la búsqueda de información y permite focalizar los esfuerzos en aquellos elementos que son críticos para su negocio.

Esta revisión es complementaria con una revisión de seguridad en caja negra, y puede ser llevada a cabo a continuación de la anterior.

Existen multitud de servicios de seguridad, abordados en modalidad de proyecto cerrado, servicio anual o bolsa de horas. Los servicios de seguridad y tests de intrusión realizados por el equipo de especialistas en hacking ético y ciberseguridad de Tarlogic se centran, entre otros, en los siguientes tipos de trabajos:

  • Auditoría web: Protección de portales y aplicaciones web simulando ataques realizados por hackers. La auditoría de aplicaciones Web también analiza vulnerabilidades en la infraestructura (Microsoft IIS, Apache, Websphere,nginx,..), vulnerabilidades asociadas a la tecnología utilizada (aspx, php, java,..) y vulnerabilidades asociadas a la lógica de la aplicación.
  • Seguridad eCommerce: Mejora la confidencialidad y disponibilidad de la plataforma ecommerce  y ayuda a reducir el riesgo de fraude y los datos de pago (PCIDSS).
  • Hacking interno: Identificación de debilidades y vías de acceso a información confidencial dentro de los sistemas de su compañía. Este trabajo de test de intrusión ayuda a identificar áreas de mejora en la seguridad del directorio activo y servidores internos.
  • Revisión de seguridad perimetral: Análisis del perímetro externo de la organización y los servicios expuestos (Portales web,correo, DNS…)
  • Auditoría WiFi: Revisión del despliegue y seguridad de la infraestructura WiFi en redes enterprise y portales cautivos. Análisis de cobertura y triangulación de dispositivos y puntos de acceso.
  • Análisis forense: Análisis e investigación en sistemas informáticos en busca de accesos no autorizados, manipulación de la información o acciones dañinas para la empresa.
  • Sistemas Microsoft Windows: Análisis de la infraestructura de directorio activo, políticas de seguridad, configuración de servidores y puestos de trabajo, así como elaboración de guías de configuración segura.
  • Sistemas linux y Unix: Estudio de los mecanismos de seguridad implementados en los sistemas, debilidades y aspectos de mejora.
  • Hardware hacking: Auditoría de seguridad de dispositivos hardware (routers de comunicaciones, cablemodems, dispositivos embebidos, alarmas, dispositivos IOT,..).
  • Auditoría de app móvil: Pruebas de ethical hacking sobre aplicaciones móviles Android e IOS y auditoría de código de la aplicación móvil.
  • Línea base de seguridad: Servicios de bastionado de sistemas para proteger la seguridad de servidores y puestos de trabajo de usuarios.
  • Investigación e inteligencia: Análisis de incidentes de seguridad y de información útil para la seguridad de su negocio y para la toma de decisiones
  • Servicios Avanzados: Servicios de ciberseguridad orientados a empresas con mayor nivel de madurez o que gestionan información crítica.
  • Red Team: Equipo especializado 24/7 que simula ataques informáticos de esponsorizados contra su compañia.
  • Bug Bounty: Programa gestionado de recompensas a investigadores por la identificación de fallos de seguridad.

OTROS SERVICIOS

Análisis de dispositivos WiFi y Rogue APs

Auditoría de aplicaciones móviles

Auditoría de seguridad basada en CVSS

Auditoría Web Auditoría  de seguridad  Web OWASP

Auditoría Wireless – Auditoría de segridad WiFi OWISAM

Bastionado de sistemas (Hardening)

Bug Bounty – Tarlogic Managed Vulnerability Rewards

Contratar Hacking ético – Empresa especializada en seguridad

Intrusión con Advanced Persistent Threat (APT)

Red Team Tarlogic

Servicio de análisis de piratería y monitorización de fraude online

Servicio de hardware Hacking e ingeniería inversa.

¿Te interesa alguno de nuestro programas?