Auditorías Informáticas

Nuestra Visión


 

Las empresas dedicadas a este segmento de mercado han orientado sus servicios básicamente a los Penetrations Test tanto de infraestructura como de aplicaciones, pensando que lo fundamental es la Seguridad Informática.

Desde nuestros orígenes hasta la actualidad en KWELL pensamos que esa visión es sesgada ya que cuando nuestros clientes nos han pedido un análisis informático, en la mayoría de las instancias nos hemos encontrado con que el tema no se circunscribía a lo púramente técnico, sino que los bienes y principalmente los riesgos de la empresa y por lo tanto la continuidad del negocio pasaban por otros "temas", por lo que la auditoría de seguridad de la información ganaba peso y sobrepasaba ampliamente a la exclusivamente informática.

 

Esta consideración que ha surgido solamente de la experimentación cotidiana se ha visto reforzada con dos temas porcentualmente cada vez más importantes: la ingeniería social y los riesgos humanos (especialmente internos). Y es más que obvio decir que esto no se arregla con tools, pentest o el uso de la tecnología. Desde el 2004 la aplicación de ISO 27XXX y las metodologías asociadas así nos lo han demostrado.

 

El otro tema que generalmente se saltea es la protección de los datos; es más fácil decir qué está mal que agregarle una solución al problema.

 

Por eso nuestra visión no se contenta con reportar las vulnerabilidades, verificar su corrección, etc.; nos empeñamos en que la compañía con nuestro trabajo tenga sus más importantes activos, sus datos, PROTEGIDOS.


Estos son los valores diferenciales de KWELL

Nuestra Visión

Servicios

Una solución ajustada a tus necesidades

 

Pruebas de Penetración Integrales

Ofrecemos productos y servicios para las empresas que deseen proteger su infraestructura y su información contra las amenazas avanzadas de hoy en día mientras garantizan el cumplimiento de las regulaciones y requisitos gubernamentales. A través de pruebas de intrusión externa se podrán identificar potenciales vulnerabilidades que permitirían a atacantes externos, tener acceso a su red interna, o bien a los recursos que se encuentra expuestos a Internet.

La evaluación de la seguridad de la red interna comprende la simulación de un ataque perpetrado por un usuario interno con intenciones maliciosas, o bien por un tercero que ha logrado ganar privilegios dentro de la red interna de su organización. Durante nuestra evaluación, intentamos determinar las vulnerabilidades existentes en los distintos componentes de su infraestructura tecnológica y el impacto de las mismas sobre la seguridad de los recursos afectados.

 

 

Pruebas de Penetración de Aplicaciones

Este servicio comprende la revisión controlada de los diferentes componentes de la aplicaciones, tales como la capa de front-end, la capa lógica de la aplicación y las diferentes interfases a través de las cuales la aplicación se comunica con el resto de los componentes de la infraestructura tales como bases de datos, servicios web, etc.

Kwell evalúa, sin disponer y disponiendo de credenciales de acceso a las aplicaciones la seguridad no únicamente desde la óptica del desarrollo del software sino desde la funcionalidad del negocio y sus necesidades. Verifica la confidencialidad, integridad, inalterabilidad, etc. de los datos y bases de datos a los cuales se puede acceder, la existencia de puertas traseras (back-doors) y cualquier tipo de criticidad que potencialente ponga en riesgo el negocio. Adicionalmente se estudia el ambiente (muchas veces tercerizado) donde la aplicación va a correr en producción, y las características de seguridad que ofrece, resguardos, contingencias, etc.

 

 

Evaluación de Servicios Web

Los servicios Web han revolucionado el desarrollo de aplicaciones y la manera en que funcionan las organizaciones de TI, de manera bastante similar a como sucedió en el pasado con las aplicaciones cliente-servidor y las aplicaciones basadas en la Web. Ofrecen a las empresas una manera nueva y estandarizada de integrar aplicaciones y sistemas diferentes entre proveedores, socios y clientes. Con Web 2.0, los servicios Web se han convertido en algo habitual.

La seguridad es una de las principales preocupaciones que afecta a los servicios Web. La infraestructura de la seguridad de red tradicional existente no es adecuada para satisfacer las necesidades de seguridad que requieren los servicios XML y Web.

Ofrecemos  una completa evaluación de seguridad de los servicios Web para identificar las amenazas, vulnerabilidades y riesgos asociados con la infraestructura de servicios Web de su organización. Evaluamos los aspectos de seguridad del diseño y la implementación, incluyendo la confidencialidad, integridad, relaciones de confianza y autenticación usando estándares de seguridad como firmas XML, encriptación XML, SAML y WS-Security.

Se busca ataques basados en contenido XML, ataques a servicios Web de próxima generación y amenazas de la infraestructura de aplicaciones como inyección SQL y denegación de servicio (DoS).

 Las ofertas de seguridad para servicios Web incluyen:

  • Modelado de amenazas
  • Evaluaciones de caja negra
  • Evaluaciones de caja blanca
  • Revisiones perimetrales del producto (firewalls XML)
  • Revisiones de arquitectura
  • Amenazas de los servicios Web:
  • Ataques de contenido XML
    • Análisis coercitivo
    • Entidad externa
    • Alteración de parámetros
    • XPath y XQuery
    • Carga recursiva
    • Carga de gran tamaño
  • Ataques de servicios Web
    • Detección WSDL
    • Envenenamiento de esquema
  • Ataques de la infraestructura
    • Enumeración de información
    • Autenticación y autorización
    • Validación de entrada (SQL/XSS)
    • Manejo de errores
    • Capa de servidor Web/red

 

 

Auditorías de Código Fuente

Kwell podrá evaluar si sus aplicaciones fueron desarrolladas teniendo en cuenta las mejores prácticas de seguridad para la tecnología asociada y analizar en detalle el cuerpo de las mismas a fin de identificar vulnerabilidades.

 

 

Pruebas de Penetración sobre Redes Inalámbricas, Accesos Remotos y Celulares

Kwell cuenta con la experiencia para evaluar la seguridad de sus redes inalámbricas, teniendo en cuenta aspectos tales como la arquitectura de la red, los mecanismos de encriptación utilizados, la protección de los puntos de acceso y la seguridad de las consolas de administración de los dispositivos.

Asimismo realizamos un análisis de la infraestructura de accesos remotos y comunicaciones utilizada por su empresa para brindar acceso a los usuarios móviles (RAS, VPNs, PBXx, etc.).

Lo mismo se aplica si su organización cuenta con aplicaciones brindadas a través de internet móvil (basadas en telefonía celular). El equipo de Kwell evalúa la seguridad de la aplicación y de la infraestructura tecnológica que soporta dicho servicio, desde la perspectiva de un potencial atacante que intenta ganar acceso a su información o a su red interna a través de este canal.

 

 

Evaluación de Vulnerabilidades mediante técnicas de Ingeniería Social

Empleando técnicas de ingeniería social, Kwell puede simular escenarios de intrusión en el cual un atacante intenta obtener información sensitiva de su organización a partir de la explotación del denominado "factor humano" de la seguridad, empleando todo tipo de técnicas sobre los usuarios finales, como por ejemplo mediante correos electrónicos, llamadas telefónicas, plantado de dispositivos flash drive, etc.

 

 

Evaluación de Infraestructura Física

 Determinar si lo instalado y en particular cómo está configurado, cumple con los requerimientos de seguridad de la empresa. Considerando que estamos ante la presencia de algo totalmente dinámico, no es suficiente tener un buen hardware y software en la empresa y pensar que eso me da protección. Es verificar que todas las reglas, procedimientos, etc. están activos y en pleno funcionamiento.

 

 

Pruebas de Tecnologías de Punta

Como la Informática o la Tecnología forma parte de algo más amplio como la Infomación como "bien a proteger", no podemos pensar en limitar las pruebas o evaluaciones a lo "tradicional", por lo que Kwell brinda además de lo expresado previamente, servicios de auditoría de otro tipo, como por ejemplo de tecnologías de punta.

¿Qué implica esto?. Que ante la instalación de por ejemplo un sistema de control de accesos biométrico, un sistema de video vigilancia IP o proyectos de ese estilo, nuestros equipos de trabajo tienen la capacidad de: evaluar y comparar las mejores opciones costo / beneficio para los requerimientos de su empresa, actuar como dirección de proyecto, dirigiendo  y controlando a los proveedores e instaladores contratados y/o auditar instalaciones determinando el grado de cumplimiento del trabajo realizado versus las especificaciones técnicas a cumplir.