Página de Inici On som
   

Sistemès Informàtics

Somos una empresa pionera en la prestación de servicios informáticos PYMES y corporativos, creada para garantizar la seguridad y correcto funcionamiento de sus sistemas, permitiéndole a los empresarios y directivos centrarse en sus negocios. Desde hace más de 20 años presta servicios a reconocidas empresas de Vilanova i la Geltrú, Barcelona y alrededores empleando diversos metodos, uno de ellos el monitoreo preventivo. Prestamos servicios en forma altamente personalizada, comprendiendo que cada empresa es única, creando una solución a la medida de cada necesidad. Somos especialistas en identificar y entender las necesidades informáticas de nuestros clientes para ofrecerles la mejor solución integral.
Así como la Auditoría Contable controla los sistemas y registraciones de su contabilidad, la Auditoría Informática es la encargada de verificar que sus sistemas y procesos informáticos funcionen adecuadamente para las funciones que han sido programados y sus activos digitales se encuentren debidamente protegidos.

Servicios Informáticos. Soporte técnico

Soporte técnico sin contrato y con respuesta rápida. Ofrece un soporte técnico eficaz para incidencias puntuales. Servicio apropiado para particulares o profesionales con un bajo índice de incidencias.

Servicios Informáticos. Mantenimiento informático

Soporte técnico con respuesta a partir del siguiente día laborable. Ofrece tranquilidad frente incidencias y excelentes tarifas en servicios y en productos. Servicio adecuado para empresas con varios ordenadores, con o sin servidor, con impresoras de red y otros dispositivos informáticos.

Servicios Informáticos. Asistencia remota

Servicio puntual a través de Internet, adecuado para profesionales o empresas con uno o varios ordenadores, con o sin servidor, impresoras de red y otros dispositivos informáticos.

Auditoría de Seguridad Informática ISO 17799

1.1 - Auditoria de Seguridad Global
1.2 - Auditoria de Seguridad del Centro de Computos
1.3 - Auditoria de Seguridad de los Sistemas Operativos
1.4 - Auditoria de Impacto de los Riesgos de la Seguridad Informática
1.5 - Test de Penetración e Intrusión (Ethical Hacking)

Auditoria de Aplicaciones
Auditoria de Desarrollo de Software
Auditoria Forense
Auditoria de Control Interno y Monitoreo
Auditoria de Adquisición e Implementación
Auditoria de Comunicaciones

1- Auditoria de Seguridad Informática ISO 17799

La Norma ISO/IEC 17799 (denominada también como ISO 27002) es un estándar para la seguridad de la información publicado por la International Organization for Standardization y por la Comisión Electrotécnica Internacional, con el título de Information technology - Security techniques - Code of practice for information security management.

Cuando hablamos de seguridad la mayoría de las personas automáticamente asocian este termino frente a ataques externos a la empresa. Se limitan a investigar la seguridad en la periferia de la empresa, que tan vulnerable es la misma frente a ataques externos, ya sea por virus, hacking, phishing, etc.

El termino de Seguridad Informática es mas amplio y abarcativo, y así lo entienden las organizaciones internacionales de las cuales somos miembros, la seguridad interna es tanto o mas importante que la externa. No nos limitamos a asegurar el exterior sino que analizamos y auditamos la seguridad interna y externa.

Se estima que el 70% de los ataques que sufren las empresas provienen desde el interior de la misma.

La Seguridad de la Información basada en la norma ISO 17799, la podemos definir como la preservación de las siguientes características:
a) confidencialidad: se garantiza que la información sea accesible sólo a aquellas personas autorizadas a tener acceso a ella.
b) integridad: se salvaguarda la exactitud y totalidad de la información y los métodos de procesamiento.
c) disponibilidad: se garantiza que los usuarios autorizados tengan acceso a la información y a los recursos relacionados con ella toda vez que se requiera.



La seguridad informática abarca los conceptos de seguridad física y seguridad lógica. La seguridad física se refiere a la protección del Hardware y de los soportes de datos, así como a la de los edificios e instalaciones que los albergan. Contempla las situaciones de incendios, sabotajes, robos, catástrofes naturales, etc.

La seguridad lógica se refiere a la seguridad de los activos digitales, uso del software, protección de los datos, procesos, así como a los procedimientos, normas de orden y autorización de acceso de los usuarios a la información, etc.

Se elaboran "matrices de riesgo", en donde se consideran los factores críticos de éxito, las "Amenazas" a las que está sometida y los "Impactos" que aquellas puedan causar cuando se presentan.

La auditoria de Seguridad Informática podemos dividirla en:
1.1 - Auditoria de Seguridad Global, basados en las normas ISO 17799 – BS7799 – ISO 27001
1.2 - Auditoria de Seguridad del Centro de Cómputos (Data Centers)basados en las normas NFPA75, TIA 942.
1.3 - Auditoria de Seguridad de Sistemas Operativos y Componentes de Red. (Vulnerability Assesment.)
1.4 - Auditoria de Impacto de los Riesgos de la Seguridad Informática.
1.5 - Test de Penetración e Intrusión. (Ethical Hacking).

1.1 - Auditoria Informática de Seguridad Global, basados en las normas ISO 17799 – BS7799 – ISO 27001

La decisión de realizar una Auditoria Informática de Seguridad Global en una empresa, se fundamenta en el estudio cuidadoso de los riesgos potenciales a los que está sometida.
Es esencial para una organización identificar sus requerimientos en materia de seguridad. Existen tres recursos principales para lograrlo.

El primer recurso consiste en evaluar los riesgos que enfrenta la organización. Mediante la evaluación de riesgos se identifican las amenazas a los activos, se evalúan las vulnerabilidades y probabilidades de ocurrencia, y se estima el impacto potencial.

El segundo recurso está constituido por los requisitos legales, normativos, reglamentarios y contractuales que deben cumplir la organización, sus socios comerciales, los contratistas y los prestadores de servicios.

El tercer recurso es el conjunto específico de principios, objetivos y requisitos para el procesamiento de la información, que ha desarrollado la organización para respaldar sus operaciones.

Con origen en la norma británica BS7799, la ISO 17799 es la especificación técnica de nivel internacional en materia de Seguridad de la Información. Establece la base común para desarrollar normas de seguridad dentro de las organizaciones. Define diez dominios de control que cubren por completo la Gestión de la Seguridad de la Información.

Cuando se ejecuta esta auditoria los trabajos se basan en los dominios y objetivos que dictamina dicha norma.

1.2 - Auditoria Seguridad de Centro de Cómputos (Data Centers) basados en las normas NFPA75, TIA 942.

La auditoria de Seguridad de Centro de Cómputos (Data Centers) está basada en las normas NFPA75 y TIA 942. El propósito del estándar TIA 942 es proveer los requerimientos y las guías para el diseño e instalación de Centros de Cómputo (Data Centers). Se auditará la planificación de la ubicación, sistemas de cableado y diseño de la red, topología del piso para lograr el balance apropiado entre seguridad, densidad de racks, etc.

TIA-942 permite que el diseño del Data Center sea considerado desde el proceso de desarrollo del edificio, contribuyendo a consideraciones arquitectónicas sobre distintos esfuerzos en el área de diseño, promoviendo así la cooperación entre las fases de su construcción.

El estándar NFPA 75 fue elaborado por la National Fire Protection Associaton y establece los requisitos para la construcción con computadoras necesitando protección contra incendios y edificación, habitaciones, áreas, o ambientes operacionales especiales. La aplicación esta basada en consideraciones de riesgo tal como los aspectos de interrupción de negocio de la función o amenazas de fuego a la instalación.

1.3 - Auditoria de Seguridad de Sistemas Operativos y Componentes de Red.(Vulnerability Assesment.)

Se analizarán y cuantificarán las vulnerabilidades encontradas en los sistemas operativos y componentes de red. Se estudiarán las políticas de seguridad implementadas, los responsables designados para el mantenimiento de los mismos. Se evaluará si los sistemas están actualizados con las últimas versiones del fabricante, indagando las causas de las omisiones si las hubiera. El análisis de las versiones de los Sistemas Operativos permite descubrir las posibles incompatibilidades entre otros productos de Software Básico adquiridos por la instalación y determinadas versiones de aquellas. Se revisarán los parámetros variables de las Librerías más importantes de los Sistemas, por si difieren de los valores habituales aconsejados por el desarrollador.

1.4 - Auditoria del Impacto de los Riesgos de la Seguridad Informática.

Los requerimientos de seguridad se identifican mediante una evaluación metódica de los riesgos de seguridad. La evaluación de riesgos es una consideración sistemática de los siguientes puntos:

a) impacto potencial de una falla de seguridad en los negocios, teniendo en cuenta las potenciales consecuencias por una pérdida de la confidencialidad, integridad o disponibilidad de la información y otros recursos;
b) probabilidad de ocurrencia de dicha falla tomando en cuenta las amenazas y vulnerabilidades predominantes, y los controles actualmente implementados.

Los resultados de esta evaluación ayudarán a orientar y a determinar las prioridades y acciones de gestión adecuadas para la administración de los riesgos concernientes de la seguridad de la información, y para la implementación de los controles seleccionados a fin de brindar protección contra dichos riesgos.

Puede resultar necesario que el proceso de evaluación de riesgos y selección de controles deba llevarse acabo en varias ocasiones, a fin de cubrir diferentes partes de la organización o sistemas de información individuales.

Es importante llevar a cabo revisiones periódicas de los riesgos de seguridad y de los controles implementados a fin de:

a) reflejar los cambios en los requerimientos y prioridades de la empresa;
b) considerar nuevas amenazas y vulnerabilidades;
c) corroborar que los controles siguen siendo eficaces y apropiados.

Las revisiones deben llevarse a cabo con diferentes niveles de profundidad según los resultados de evaluaciones anteriores y los niveles variables de riesgo que la gerencia está dispuesta a aceptar. Frecuentemente, las evaluaciones de riesgos se realizan primero en un nivel alto, a fin de priorizar recursos en áreas de alto riesgo, y posteriormente en un nivel más detallado, con el objeto de abordar riesgos específicos.

1.5- Test de Penetración e Intrusión. (Ethical Hacking).

El Test de Penetración es un método de auditoria mediante el cual se evalúa la seguridad de los sistemas de protección perimetral de una empresa así como los diferentes sistemas que están accesibles desde Internet (routers exteriores, firewall, servidores web, de correo, de noticias, etc), intentando penetrar en ellos y de esta forma alcanzar zonas de la red de una empresa como puede ser la red interna o la DMZ.
Las metodologías en las que basamos nuestros trabajos son OpenSource OSSTMM e ISSAF.
Los aspectos relevados son:

Estudio de la Red: Análisis de la red del cliente con el objetivo de obtener un mapa detallado de la misma.
Escaneo de puertos e identificación de servicios: Análisis de las posibles vías de entrada a las máquinas contratadas identificando las características y servicios de las mismas. Se realiza un escaneo automático y manual (selectivo) de puertos sobre cada una de las IPs contratadas por el cliente.
Test automático de vulnerabilidades: Utilizando tanto herramientas propias como externas se determinan los deficiencias de seguridad que existen en los sistemas analizados.
Password cracking: Se intentan obtener cuentas de usuarios (login y password) del sistema analizado a través de herramientas automáticas utilizadas por los hackers. Se utilizan passwords por defecto del sistema, ataques por fuerza bruta, diccionarios de passwords, etc.
Documentación Alcanzada: Recopilación de la mayor cantidad de información susceptible de ser utilizada para quebrar cualquiera de las protecciones de las que pudiera disponer la empresa. Utilizando toda la información que se encuentre accesible desde Internet: web corporativa y de los empleados, grupos de noticias, bases de datos de búsqueda de trabajo, etc.
Test de los sistemas de confianza: El objetivo es encontrar vulnerabilidades en los sistemas analizando las relaciones de confianza o dependencias que existen entre ellos.
Test de las medidas de contención: Comprueba la existencia de herramientas de contención y el nivel de defensa que ofrecen frente a la llegada de código malicioso (troyanos, ActiveX o applets dañinos, etc.).
Test del sistema de detección de intrusos (IDS): Análisis de los IDS con la finalidad de estudiar su reacción al recibir múltiples y variados ataques. Análisis de los logs del IDS.

2- Auditoria de Aplicaciones

La Auditoria de Aplicaciones se basa en la observación y el análisis de cuatro grandes áreas:

Revisión de las metodologías utilizadas: Se analizaran éstas, de modo que se asegure la modularidad de las posibles futuras ampliaciones de la Aplicación y el fácil mantenimiento de las mismas.
Control Interno de las Aplicaciones: se revisan las fases que presuntamente han debido seguir en el área correspondiente de Desarrollo:

Estudio de Viabilidad de la Aplicación.
Definición Lógica de la Aplicación. Se analizará que se han observado los postulados lógicos de actuación, en función de la metodología elegida y la finalidad que persigue el proyecto.
Desarrollo Técnico de la Aplicación. Se verificará que éste sea ordenado y correcto. Cuales fueron las herramientas y técnicas utilizadas en desarrollo de la aplicación.
Diseño del Sistema
Métodos de Pruebas (Testing). Se evaluara si existe un documento de testing y como fueron ejecutadas de acuerdo a las Normas adoptas.
Documentación.
Equipo de Programación.

Satisfacción de usuarios: Una Aplicación técnicamente eficiente y bien desarrollada, deberá considerarse fracasada si no sirve a los intereses del usuario que la solicitó.
Control de Procesos y Ejecuciones de Programas Críticos: Separación de ambientes. Se ha de comprobar la correspondencia biunívoca y exclusiva entre el programa codificado y su compilación. Si los programas fuente y los programa módulo no coincidieran pueden provocar, altos costos de mantenimiento, fraudes, acciones de sabotaje, espionaje industrial-informativo, etc. Se analizara si existe separación de ambientes, personal responsables de los mismos, etc.

3- Auditoria de Desarrollo de Software

Sintéticamente el desarrollo de software comprende las siguientes áreas:

Análisis y Gestión de Requerimientos
Documentación
Análisis y Diseño
Implementación
Validación y Verificación (Testing)
Control de la Configuración
Proceso de Desarrollo de Software en general
Estas áreas deben estar sometidas a un exigente control interno, porque en caso contrario, además del aumento de los costos, se puede producir la insatisfacción del usuario.

4- Auditoria Forense

La auditoria forense es una metodología de estudio apta para el análisis a posteriori de incidentes, mediante la cual se trata de reconstruir cómo se ha penetrado en el sistema, a la par que se valoran los daños ocasionados y se determinan los controles a implementar.

5- Auditoria de Control Interno y Monitoreo

Todos los procesos necesitan ser evaluados regularmente a través del tiempo para verificar su calidad y suficiencia en cuanto a los requerimientos de control. Este dominio también advierte a la Administración sobre la necesidad de asegurar procesos de control independientes, los cuales son provistos por auditorías internas y externas u obtenidas de fuentes alternativas.

6- Auditoria de Adquisición e Implementación

Las soluciones de IT deben ser identificadas, desarrolladas o adquiridas, así como implementadas e integradas dentro del proceso del negocio. Además, este dominio cubre los cambios y el mantenimiento realizados a sistemas existentes, para asegurar que el ciclo de vida sea continuo para esos sistemas. Esta auditoria hace hincapié en el análisis del desarrollo de las etapas mencionadas anteriormente, al grado de cumplimiento y a la segregación de funciones que debe existir en la empresa para el aseguramiento del éxito en la misma.

7- Auditoria de Comunicaciones

El objetivo de esta auditoria es evaluar los sistemas de comunicaciones de la compañía analizando los índices de utilización de las líneas contratadas, trafico de la mismas, índices pactados en los contratos, etc. La empresa deberá contar con la topología de la Red de Comunicaciones, actualizada. Se estudiarán las disfunciones organizativas, roles y encargados del cumplimiento y del mantenimiento de los servicios de comunicaciones de la empresa auditada.
   

Rbla. J.Tomás Ventosa 15, Entlo.
08800 - Vilanova i la Geltrú
Barcelona
Tel: 633 61 82 21

Comollegar
© 2013 - Serveis Informàtics - Optimizada 800 x 600 - Última actualización 22 Febrero, 2013