propuesta de convenio escaneo de ... - … cedu...cuales (meycor cobit software suite) son sugeridos...

DE 13

PROPUESTA DE CONVENIO ESCANEO DE VULNERABILIDADES Y HACKEO ÉTICO CAMARA DE LA ECONOMÍA DIGITAL DEL URUGUAY (CEDU)

JULIO 2017

DE 13

Montevideo, 21 de julio de 2017.

Atención: Sra. Ivanna Rocha

Presente.

Por la presente, nos complace hacer llegar nuestra propuesta para la prestación de nuestros servicios de Hacking Ético y Escaneo de las Aplicaciones.

Nuestra empresa realiza desde 1987 proyectos de seguridad y control de sistemas de información, habiendo logrado una posición de respeto en la comunidad nacional e internacional.

En los últimos años Datasec brinda el servicio de escaneo de vulnerabilidades, aseguramiento de desarrollo seguro y ethical hacking, contando con numerosos y probados casos de éxito en la materia.

Finalmente deseamos resaltar la prioridad que le da Datasec a la calidad de sus servicios, habiendo obtenido la certificación ISO/IEC 27001.

Quedando a sus órdenes por cualquier consulta o información adicional que pueda requerir, le saluda muy cordialmente.

Reynaldo C. de la Fuente

Director-Gerente

DE 13

Contenido

Escaneo de vulnerabilidades ........................................................................................................................................................................................ 7

Hackeo ético ................................................................................................................................................................................................................. 9

Propuesta Económica …………………………………………………………………………………………………………………………………………………………………………11

Antecedentes Específicos…………………………………………………………………………………………………………………………………………………………………….12

DE 13

CLÁUSULA DE CONFIDENCIALIDAD

El presente documento tiene carácter de confidencial. Datasec garantiza la confidencialidad de secretos de negocios, información reservada y cualquier otro material que haya o deba ser divulgado por cada una de las partes en el curso de la relación de negocios. Se asume un mutuo acuerdo no-divulgación de información confidencial de la otra parte o usar la información confidencial para otros propósitos que no sean para el descrito en este servicio.

DE 13

Nuestra historia

Datasec nace en 1987 con una profunda vocación de servir a la comunidad internacional en el área de la consultoría, la auditoría, el control y la seguridad de los sistemas de información. Solo eso hacemos, pero de una forma intensiva, cubriendo todos los aspectos del tema, persuadidos de que en los tiempos actuales sólo se logra excelencia si se concentra el esfuerzo en un campo responsablemente acotado.

Hemos logrado desarrollar conciencia de la importancia de nuestra misión a través de publicaciones técnicas difundidas en toda la comunidad de habla hispana, permanente capacitación a través de seminarios y cursos, participando, además, en importantes proyectos de nuestra especialidad.

Los principales consultores de DATASEC cuentan con los títulos internacionales CISA (Certified Information Systems Auditor), CRISC, (Certified in Risk and Information Systems Control), CISSP (Certified Information Systems Security Professional), CISM (Certified Information Security Manager) y PMP (Project Managment Profesional). Somos fundadores del Capítulo o Sucursal de la Information Systems Audit and Control Association (ISACA) en Uruguay e integramos en representación de la comunidad hispana el IT Governance Steering Committee de la (ISACA).

Hemos desarrollado productos propios de software para la implantación del gobierno de la TI, planes de continuidad del negocio, análisis de riesgos de TI, auditoria de TI y sistemas integrados de control interno basados en las mejores prácticas internacionales, algunos de los cuales (Meycor Cobit software suite) son sugeridos para todo el mundo en inglés y español, desde el website de la Information Systems Audit and Control Association (ISACA) la mayor organización académica internacional para la Seguridad, el Aseguramiento y la Gobernabilidad de los sistemas de información, con su sede central en Chicago, USA y sucursales o capítulos donde se congregan localmente sus cientos de miles de socios dispersos a lo largo y ancho del mundo.

DE 13

NUESTRA PROPUESTA Nuestra Diferencia

En la actualidad, y desde ya hace décadas, no existe proceso de la organización donde la TI (tecnología de la información) no esté presente. La internet de las cosas, la explosión de dispositivos que requieren estar conectados y que afectan nuestra vida cotidiana solo exacerbará esa tendencia.

A los riesgos tradicionales asociados al hackeo de sistemas:

▪ pérdida de imagen de la compañía, ▪ pérdidas económicas, ▪ problemas legales, contractuales o regulatorios, ▪ pérdidas de disponibilidad y problemas operativos, ▪ fuga de información, alteración indebida de la información.

Deberemos agregar los riesgos físicos de nuestro entorno: la capacidad de hackear los termostatos de nuestros hogares o de una cadena de frío; modificar las señales de los sensores de control en una industria; interferir las señales de un automóvil; etc.

El desafío que se nos presenta es cómo lograr un estado “razonable” de seguridad cuando los riesgos pueden no solo afectar la confidencialidad, integridad y disponibilidad, sino el mismo entorno físico en el que vivimos.

DE 13

Si bien nadie ha dado una respuesta definitiva al asunto, sabemos que el entorno dinámico en el que opera una organización (descubrimiento de nuevos vectores de ataque; cambios en la infraestructura; cambios en el entorno y aplicaciones; etc.) demanda una revisión constante de nuestro entorno tecnológico.

Datasec ofrece varios servicios que permiten abordar la problemática anteriormente planteada.

PROPUESTA DE SERVICIOS

Escaneo de vulnerabilidades

¿Qué es?

Un Escaneo de Vulnerabilidades es la identificación, análisis y reporte de vulnerabilidades (entendida como una falla que permite que una amenaza se convierta en un riesgo).

Datasec cuenta con las herramientas y pericia necesarias para realizar un escaneo de vulnerabilidades sobre puertos, servicios y aplicaciones.

¿Qué alcance está incluido?

El servicio incluye la ejecución de 2 escaneos anuales de forma remota, en coordinación con la organización de modo de no interferir con la operativa diaria de la empresa e incluye hasta 5 (cinco) URL’s o IP´s.

¿Qué obtengo?

DE 13

El escaneo de vulnerabilidades le permitirá tener un diagnóstico primario de la seguridad de las aplicaciones que expone al exterior como de la infraestructura sobre la cual corre.

Como resultado final por cada escaneo tendrá un informe ejecutivo y otro detallado de los fallos y debilidades como las recomendaciones para subsanarlas. Además, le ofrecemos un informe del nivel de cumplimiento con buenas prácticas internacionalmente reconocidas: CWE/SANS Top 25, HIPAA, ISO/IEC 27001, NIST 800-53, OWASP TOP 10, PCI DSS, Sarbanes-Oxley.

DE 13

Hackeo ético

¿Qué es?

Un hackeo ético es el servicio llevado a cabo por personal especializado que, usando las mismas herramientas y técnicas que un atacante real (un cracker), busca identificar fallos de seguridad con el fin de reportarlos y corregirlos (en vez de usar esos fallos para provocar daño o para beneficio personal).

Se trata de un trabajo más profundo y extenso que el escaneo de vulnerabilidades. Un hackeo ético busca dar una respuesta a las siguientes preguntas:

▪ ¿Qué puede saber un atacante? ▪ ¿Qué puede hacer un atacante con esa información? ▪ ¿Se podría detectar un intento de ataque? ▪ ¿Se podría detener el ataque? Para ello, se utiliza habitualmente una metodología formada por las siguientes fases:

DE 13

¿Cuál es el Alcance?

Se incluyen dos servicios anuales de hackeo remoto de hasta 5 (cinco) URL’s o IP´s. La empresa podrá, o no, dar información acerca de las aplicaciones e infraestructura como credenciales adicionales.

1. Reconocimiento

2. Scanning y enumeración

3. Acceso4.

Mantenimiento acceso

5. Borrado de huellas

DE 13

¿Qué obtengo?

Una visión más profunda y realista de mis vulnerabilidades y hasta qué punto pueden ser explotadas realmente por un atacante.

Se contará con un informe inicial sobre las pruebas realizadas y sus resultados, junto con las formas de corregir los fallos hallados.

El trabajo concluirá con un informe final por cada instancia, lo que permitirá exponer concretamente la evolución producida.

DE 13

PROPUESTA ECONÓMICA

Se ofrece a los Socios de la CEDU la posibilidad de acceder a los servicios de Hacking Ético y Escaneo de vulnerabilidades de forma preferencial.

En ambos casos el servicio se plantea con dos instancias anuales, con un alcance de hasta 5 URL´s o IPS, cubriéndose también APPs.

El servicio anual de Escaneo de Vulnerabilidades tiene un 20 % de descuento para los socios de la CEDU.

El servicio anual de Hacking Ético tiene un 20 % de descuento para los socios de la CEDU.

De forma complementaria se ofrece un 15% de descuento en los servicios de capacitación, auditoría y consultoría en Ciberseguridad brindados por Datasec.

DE 13

ANTECEDENTES ESPECÍFICOS Algunos casos de éxito locales del servicio propuesto:

CPA Ferrere

•Pentest Externo e Interno. Escaneo de vulnerabilidades, pruebas de ingeniería social.

Banco de Seguros del Estado

•Pentest Externo e Interno.

RSA Uruguay

•Pentest Externo.

Surco Uruguay

•Pentest Externo.

Banco Bandes Uruguay

•PenTest Externo.

República AFAP

•PenTest Externo e Interno.

AIVA

•Escaneo de vulnerabilidades.

BEVSA – Bolsa Electrónica de Valores

•Pentest Externo, análisis según OWASP ASVS

Banca de Quinielas de Montevideo


Integración AFAP


HG

•Pentest Externo, análisis según OWASP ASVS.

Ancap

•Escaneo de vulnerabilidades.

GUYER

•Pentest Externo.

Inforcheck

•Pentest Externo.

Archidoc

•Pentest Externo.

Software & Consulting Peru

•Pentest Externo.

Caja Metropolitana de Lima


ONP Perú


Pronto!

•Pentest Externo.

Audea

•Pentest Externo.

BBVA

•Pentest Externo.

Sura Seguros

•Pentest Externo.

Alianza de Bahia.

•Pentest Externo.

Dvelop.

•Pentest Externo.

propuesta de convenio escaneo de ... - … cedu...cuales (meycor cobit software suite) son sugeridos...

Documents