Auditoria de Sistemas y Pericias Informáticas.
Nuestros expertos auditores de sistemas tienen experiencia certificada en entidades como ser: Banco Citibank, Banco Hipotecario, Diners Club Argentina, Provencred, Banco Mayo, Fideicomisos, y pericias judiciales de parte, tanto en Argentina como en otros países de América latina. Siguiendo siempre los siguientes objetivos de éxito:
Factores de éxito |
Revisar el ambiente de control que la empresa aplica en : los procesos y/ o aplicaciones informatizadas; en la seguridad en la infraestructura de comunicaciones, seguridad el control de acceso y autenticación para asegurar la confidencialidad, exactitud, eficacia |
Entender los riesgos que la empresa enfrenta en el desarrollo de sus actividades y negocios, analizando si el ambiente de control interno que se encuentra operando acota los mismos en forma adecuada. Evaluar oportunidades de mejora que optimicen la eficiencia de los procesos. |
Certificar saldos (contables y/u operativos), procesos o cálculos a requerimiento de otros sectores de la empresa, de terceros o como consecuencia de alguna exigencia legal o regulatoria. |
Asesorar e intervenir en proyectos y/o eventos que involucran a la empresa y afectan de alguna manera el ambiente de control, aspectos legales y/o regulatorios; etc. de los procesos o actividades de la misma. |
Evaluar el cumplimiento de los procesos definidos para los distintos escenarios de contingencia, asegurando el cumplimiento de los procesos de control definidos en cada caso. |
Lograr un proceso de seguimiento de las observaciones informadas por Auditoria Interna / Externa e Inspecciones de Organismos de Contralor, que permitan regularizar en tiempo y forma, los distintos aspectos que impactan sobre el ambiente de control de la empresa. |
Algunas de las auditorias realizadas incluyen:
- Seguridad Informática de aplicaciones y sistemas Bancarios (HomeBanking, Transferencias de Fondos, Plazos fijos, Cuentas Corrientes, Créditos, Conciliaciones, Sistema Distribuido de Sucursales) bajo plataformas: AS/400 (revisión de valores del sistema, permisos por usuarios y funciones, revisión de logs de usuarios, entorno de desarrollo vs. Producción, manejo de librerías en desarrollo), NT Server 4/2000, Novell 4.x, Unix NCR, OS/2, RS6000 (Unix) y plataforma PC en todas sus variantes.
- Revisión de Firewalls y dispositivos IDS por Hardware.
- Seguridad Física de Data Centers y Seguridad lógica de sistemas dedicados.
- Outsourcing - Contratos y Servicios con proveedores externos de desarrollo de sistemas (p.e.: sistemas de Home Banking) y procesamiento externo (p.e.: Clearing).
- Plan de Contingencia de Data Centers, Centros de Telecom., Servers y procesos en Gral.
- Evaluación de Revisiones de Penetration Testing e Ethical Hacking Test realizados por contratistas externos a los portales internos.
- Gerenciamiento de proyectos informáticos. (Project Management)
- Atención de Problemas en procesos en producción. (Problem Management)
- Puesta en producción y cambios en procesos y plataformas. (Change Management)
- Ciclo de Desarrollo de Sistemas. (SDLC)
- Gerenciamiento de recursos. (Resource Management)
- Adquisiciones de software. (Software Adquisition & Software Piracy)
- Data Centers (sistemas abiertos y mainframes).
- Ingenierías de software.
- Aplicaciones Web (intranet e Internet) – Homebanking
- Apoyo a revisiones de productos bancarios y de tarjetas de crédito (Provencred, VISA, MasterCard, Diners) en cuanto a funcionalidades de procesos operativos y a obtención de casos de muestra utilizando la base de datos del negocio.
- Colaboración en la creación y manejo de datos del Fideicomiso de Banco Mayo.
- Consultoría para la determinación de controles sobre sistemas en diseño.
- Participación en pruebas de usuarios y planes de implementación, incluyendo proyectos e-business, Banelco y ATM.
- Elaboración de planes anuales de revisión y de programas de revisión específicos para producto o ciclo de revisión de auditorias internas en empresas.
- Apoyo en tareas de reingenierías y reducción de costos en las áreas de negocio.
Las plataformas analizadas han sido: Windows NT 4.0, HP-UNIX (Equipos NCR de lecto clasificación de cheques), Novell 4.x, Firewalls, IDS, Web Servers (Ethical Hacking Test), AS/400, PC IBM y RS6000.
Todas estas actividades fueron realizadas en base a la aplicación de normas y políticas locales impartidas por el Banco Central de la República Argentina (BCRA), referenciadas en su Comunicaciones. (Ej. “A” 2525, 2529, 2659, 3198 y modificatorias), todas basadas en las BR (British Standards) 7799-1 y la ISO 17799.
Por lo tanto, le proponemos que solicite sin cargo una cotización de las horas de consultoría o auditoría que precisará para cumplir con algun objetivo de su empresa.
Haga clic aquí para solicitar su presupuesto sin cargo.
Factores de Control.
Nuestros procesos de revisión aseguran lo siguiente:
1) Disponibilidad de la información: La disponibilidad implica que la información debe ser accesible en todo momento para aquellos que están expresamente autorizados. Los controles que aseguran la disponibilidad de la información son políticas y procedimientos de respaldo, planes de contingencia, tecnologías de redundancia y alta disponibilidad, a la vez de un proceso de "lecciones aprendidas", donde elaboramos y procesamos información histórica sobre problemas detectados para entrenarnos en como evitarlos en el futuro.
2) Integridad de la información: La información debe mantenerse protegida de modificaciones no autorizadas tanto de usuarios como procesos autorizados como no autorizados, de tal manera que sea consistente tanto externa como internamente. Los controles que permiten mantener la integridad de la información son sistemas antivirus,
registros o trazas de auditoría (logs o auti trails), software de chequeo de validez de la información (CRC), softwares de encripción y desencripción, etc.
3) Confidencialidad de la información: Implica que solo aquellos usuarios o procesos explícitamente autorizados acceden a los activos de información cuando ellos lo requieran. Algunos controles y tecnologías que se pueden mencionar son: firewalls, listas de control de acceso, smartcard, TOkens, VPNs, etc.
Si usted desea implementar estas medidas se seguridad, por favor complete el formulario de contacto. Clic aqui:
Un servicio el cual colaboramos con los implementadores y auditores internos es el denominado Vulnerability Assessment Test:
Review Policies & Procedures
Serán analizados las políticas y procedimientos internos relacionados a la administración de seguridad informática de las plataformas tecnológicas de la compañía, léase: funciones de administración de sistemas, controles de súper usuarios / procedimientos de emergencia, procedimientos de toma de backup y controles relacionados al funcionamiento de la tecnología de servidores y dispositivos de red. Se realizarán pruebas (sustantivas y de cumplimiento) de los procedimientos mencionados entendiendo si son cumplimentados según se han enunciado. Serán evaluados los mismo, a su vez, entendiendo si se adaptan a los últimos lineamientos impartidos por la BS 7799 y la ISO 17799, y las “Best Practices” emitidas por los fabricantes de los productos de hard y soft de sus redes.
Haga clic aquí para solicitar su presupuesto sin cargo.
Application Vulnerability Assessment
Comprende identificar vulnerabilidades de seguridad revisando y probando los controles de seguridad de cada aplicación. Un ejemplo de los testeos de vulnerabilidades de una aplicación son: poder acceder a información vital de la aplicación sin la necesidad de contar con las claves, poder ingresar con la clave de otra persona gracias a poder violar el sistema de almacenamiento de claves, tomar ventaja de fallas de control en el ingreso de datos.
Las pruebas son realizadas desde la perspectiva de un usuario de la aplicación y desde la de un operador anónimo (sin usuario en el sistema). Luego de evaluada la aplicación se confecciona un informe de conclusiones, que incluye una lista de cuestiones para priorizar y recomendaciones para la remediación de las vulnerabilidades halladas.
Haga clic aquí para solicitar su presupuesto sin cargo.
Threat Stage Analisys – Gap Analysis
Implementación y seguimiento de un procedimiento escrito anual de auto evaluación de los puntos de tecnología que no adhieran a políticas y procedimientos, o que pongan en peligro los activos de la empresa (imagen / información de toma de decisión / monetaria / Etc.).
Haga clic aquí para solicitar su presupuesto sin cargo.
Program Spy Detection Routine (PSDR)
Involucra la revisión de plataformas Windows en busca de programas espías / Adwares / Spywares/ traking Cookies / malwares/ Key loggers/ Trojan Horses / Dialers / Browsers Hijackers que estén capturando datos de los usuarios o redes. Precisa instalación de programa en PCS.
Haga clic aquí para solicitar su presupuesto sin cargo.
Patch Management Testing (PMT)
Mantener actualizado un entorno distribuido de Servidores y PCS es una realidad inminente para todo operador de computadora y responsable de Tecnología de una empresa. El ciclo de vida de los productos tecnológicos sumando a las necesidades cambiantes del mercado y los riesgos de seguridad crecientes (virus, programas espías, hackers, Etc.) hacen que ya no sea factible esperar una nueva versión del producto. No importa de que proveedor de software se trate, los sistemas desembocan en numerosas versiones intermedias con sucesivas publicaciones de patch, security fix, hot fix y tantos otras bien conocidas en el ambiente. Por lo tanto, se deben ejecutar procesos de detección y corrección de vulnerabilidades, que contribuyen a minimizar los riesgos que presentan las PCS y Redes inestables, carentes de una política y de un sistema de distribución de actualizaciones de software.
Haga clic aquí para solicitar su presupuesto sin cargo.
E-Commerce Security Testing / Ethical Hacking / Penetration Testing Services
El objetivo es investigar los sistemas desde la perspectiva del atacante. La primera misión es identificar la exposición y el riesgo antes de buscar las soluciones. El equipo que realiza esta actividad utiliza varias técnicas de ataque para medir el nivel actual de la seguridad. El esquema es similar a tener auditores independientes que auditan los sistemas de la organización mediante los registros. Pero, para estos casos los equipos de Ethical Hacking emplearían mismos instrumentos y técnicas que los intrusos reales, pero ellos no dañarían los sistemas o robarían la información sensitiva. En cambio, se evaluaría la seguridad de los sistemas y reportaría las vulnerabilidades halladas, y como remediarlas.
Involucra: ejecutar programas de Spyware detection / Antivirus en todos los equipos de la red / Escaneo de puerto abiertos en todos los equipos PC y servidores / Patch Management Testing de los servidores, Terminales en lo que concierne a sistemas operativos, aplicaciones de escritorio y antivirus / Revisión de puertos abiertos en el Router principal que conecte la red con el Cyber espacio / Evaluación de módems que se encuentren conectados a la red, Etc.
Los puntos cubiertos en el análisis de un Servidor que contenga aplicaciones de E-Commerce son:
- Errores de configuración.
- Loops o huecos de seguridad en códigos o scrips del Server.
- Asesoramiento sobre los datos que podrían haber sido expuestos debido a un error existente.
- Pruebas de errores sobre las vulnerabilidades hoy conocidas.
Problemas típicos hallados luego de una prueba de cumplimiento:
- Puertas traseras abiertas y errores en la parametrización del servidor
- Contraseñas débiles
- Desbordamiento de Buffer
- Vulnerabilidades de plataformas conocidas.
|
