Servicios GBI

Auditoría de seguridad informática

Detectamos las vulnerabilidades de los sistemas o de los dispositivos o los fallos de configuración que podrían facilitar a una atacante tomar el control del sistema o dispositivo, llevarse la información existente o anular el sistema o dispositivo para el uso.

Después de la aplicación del Reglamento General de Protección de Datos, RGPD (GDPR en inglés), es obligatorio realizar una auditoría de seguridad periódica de la web y/o App, dado que puede haber datos personales en esos sistemas.

Realizamos varios tipos según lo que se audite: auditoría de seguridad de sistemas o infraestructura, también llamada pentest (o test de intrusión), auditoría de seguridad web y auditoría de seguridad de APP o aplicaciones.

Todos los servicios de auditoria se basan en el standard y en la metodología de OWASP (https://www.owasp.org), que es una organización sin ánimo de lucro que se dedica a impulsar la visibilidad y la evolución de la seguridad y la protección de las aplicaciones en todo el mundo.

Descripción resumida de los servicios de auditoría:

  1. Reconocimiento de alcance

  2. Escaneo de vulnerabilidades

  3. Análisis de vulnerabilidades

  4. Explotación de las vulnerabilidades

  5. Revisión de los resultados

  6. Informe técnico de los resultados

  7. Recolección de evidencias

  8. Informes de remediación

  9. Revisión de los resultados

Un es un test basado en una serie de pruebas, como haría un atacante, con el objetivo de evaluar la seguridad de los recursos y activos de la organización para poder garantizar una continuidad del negocio y el cumplimiento de las normativas vigentes.

Esta técnica no solo identifica las vulnerabilidades existentes en la infraestructura, sino que además ejecuta un análisis con mayor profundidad. Específicamente se busca, además de la identificación, la explotación de las vulnerabilidades y de esa manera se observa el impacto real sobre la organización.

Pentest o Test de Intrusión

Formación y consultoría de seguridad

Formación preventiva

Los principales problemas de ciberseguridad se deben, o se agudizan, por la incidencia del factor humano de carácter interno.

Por este motivo, resulta altamente aconsejable que todo el personal conozca los procedimientos básicos de la seguridad informática y la importancia de que sean observados escrupulosamente.

Pueden realizarse sesiones de formación, presenciales o a distancia, sobre aquellos aspectos que sean especialmente sensibles para los sistemas y/o dispositivos del cliente.

Formación proactiva

A consecuencia de las auditorías y de la detección de los aspectos vulnerables detectados, en la mayoría de los casos debería formarse, tanto a los empleados como a los responsables, sobre aquellos aspectos que deben cuidarse para evitar los problemas de ciberseguridad y, llegado el caso, la aplicación de procedimientos y planes de contingencia para minimizar los daños.

Consultoría

La profesionalidad y experiencia de nuestro personal nos permite asesorar a los clientes en múltiples aspectos de la ciberseguridad aplicada a su realidad concreta.

A modo de ejemplo, la inexistencia de procedimientos de seguridad informática y/o planes de contingencia aconsejaría la realización de un estudio de medidas e implantación de las mismas para que todos los departamentos y personas supieran cómo actuar ante una amenaza o un ataque.

Todas las páginas y aplicaciones web son vulnerables a sufrir problemas de seguridad y ser víctimas de técnicas de hacking, por esta razón es importante mantener dichas plataformas actualizadas, no solo en formato y funcionalidad, sino en herramientas de protección de la información. La auditoría de seguridad web es una excelente alternativa que te permite minimizar riesgos e identificar aquellos aspectos de tu web que la hacen más vulnerable.

Auditoría web

Auditoría de seguridad de aplicaciones móviles

Nuestras auditorías sobre una App (móvil) o aplicación consisten en:

• Un análisis previo de tipo manual de la App o aplicación para definir el alcance de la auditoría.

• Después se entra en la auditoría profunda de la App, aplicando la metodología OWASP para aplicaciones móviles y en parte para las aplicaciones clásicas, realizando un conjunto de pruebas.

• Estas pruebas pueden ser manuales o usando herramientas, y dependiendo del alcance, se pueden hacer ataques de fuerza bruta contra el usuario y la contraseña o se pueden esnifar las conexiones entre la App y el servidor, llegando a ver si es posible modificar esa información para suplantar identidades o tener acceso al servidor en el que la aplicación deja todos los datos.