Como en todo proceso sensible a los objetivos de la Dirección y de las Gerencias, tal como lo es la seguridad de la información, se justifica la actividad de control aplicando sistemáticamente metodologías que permitan comparar el desempeño real contra lo planificado, para así detectar y corregir los desvíos en oportuna y definitiva.

A través de los distintos servicios que componen esta área los clientes de CYBSEC S.A. pueden conocer el nivel real de seguridad de sus plataformas tecnológicas y como resultado inmediato conocer también el grado de vulnerabilidad de los sistemas de su empresa.

Esta Información comprende una base sólida y muy recomendable para la toma de decisiones más adecuadas ante cada situación.

1. Penetration Test, externo e interno.

La metodología contempla operando en un entorno real, someter a los componentes de seguridad a las situaciones que se producen durante el desarrollo de una intrusión o un ataque externo o interno.

Las actividades se realizan en un entorno controlado, que evita afectar los sistemas en producción pero a la vez garantiza obtener resultados absolutamente reales.

La metodología que se aplica contempla realizar los trabajos sobre dos áreas:

Externa: Se actúa simulando ser un intruso externo, utilizando las vías de comunicación de la instalación hacia el exterior.

Interna: Se simula la situación de una persona dentro de la empresa, con distintos niveles de acceso y con los medios normalmente disponibles.

El resultado destacable de estos procedimientos, es disponer de información precisa y objetiva sobre los expuestos de seguridad existentes y su posible explotación por parte de intrusos y sobre esta base se desarrollan las propuestas de soluciones adecuadas a los mismos.

2. Análisis del Riesgo Tecnológico

La adecuada evaluación de los riesgos es la base indispensable para el desarrollo de las políticas y normas para la seguridad de la información que cumplan total y exitosamente, con los objetivos fijados a las Áreas de Seguridad.

Complementariamente este procedimiento es sumamente útil y confiable como elemento de control aplicado en forma periódica, ya que permite detectar eventuales fallas o desvíos que se generan por los constantes cambios en los sistemas operativos y aplicativos, y también por el propio cambio tecnológico.

El procedimiento aplicado por CYBSEC contempla un trabajo en equipo con el personal experto de la Empresa, para la identificación y clasificación de los activos informáticos, para sobre ello desarrollar matrices de impacto y probabilidad de ocurrencia. Sobre estas matrices finalmente se desarrollan las matrices de riesgos de la instalación.

Con los resultados obtenidos se dispone de un material confiable para definir la escala de prioridades de acciones y asignación de recursos para proteger los activos informáticos en función de su grado de exposición al riesgo.

3. Auditoría funcional de seguridad.

Este servicio consiste en efectuar un análisis sistemático de los perfiles y permisos, que se asignan a los usuarios para acceder a las Aplicaciones, Bases de Datos y Archivos, evaluando si estos concuerdan con lo previsto en las normas y procedimientos de seguridad de la información vigentes.

La utilidad destacable del servicio es que permite mantener en niveles mínimos los desvíos y degradaciones de la seguridad que se producen por los continuos cambios en perfiles y autorizaciones.

Utilizando perfiles de usuario válidos, los Expertos de CYBSEC S.A. verifican que los mismos puedan acceder sólo y exclusivamente a los aplicativos y a los datos a que están autorizados. Analiza que los distintos niveles de acceso permiten una adecuada utilización de la información y la funcionalidad requerida, y evalúa la estructura de los niveles de autorización, como componente necesario para una gestión segura de la información.

Los informes que se producen exponen los resultados obtenidos y proponen los cambios a realizar para corregir los problemas detectados.

4. Evaluación de aplicaciones web

La utilización masiva de aplicaciones web ha demostrado su eficiencia tanto en el ámbito empresario como en el institucional y debe destacarse que un alto grado de seguridad es condicionante en lo que se refiere al uso de datos propios y de datos de terceros.

Lograr un eficaz esquema de protección de las aplicaciones web se ha transformado en un objetivo destacado en la gestión de seguridad de la información.

El procedimiento aplicado por CYBSEC S.A. contempla realizar revisiones y evaluaciones de seguridad de aplicaciones web (Extranets, Sistemas de Home Banking, E-Commerce, etc) utilizando las últimas técnicas y metodologías de seguridad disponibles.

Las evaluaciones se realizan desde dos escenarios:

Externo: Se actúa a través de las vías de comunicación externa, fundamentalmente Internet. Identificando las vulnerabilidades y expuestos de seguridad de la aplicación.

Interno: Se utiliza un usuario y clave de acceso válidos, para detectar las brechas de seguridad existentes tanto en los sistemas operativos como en los aplicativos.

Como resultado del servicio se produce un informe de las vulnerabilidades y expuestos de seguridad de las aplicaciones, con un detallado documento que contiene las soluciones que se consideren convenientes aplicar en cada caso.

5. GAP Análisis

La decisión de alinear una empresa o institución con normas internacionales en lo que se refiere a la seguridad de la información, requiere una evaluación que determine muy precisamente la brecha entre la situación actual y la situación determinada como objetivo.

CYBSEC S.A. realiza GAP análisis a nivel Documental (Documentación de procesos, Políticas, Normas, Estándares, Guías, etc) y a nivel Técnico (seguridad en redes, plataformas y aplicaciones). En ambos casos contra Estándares Internacionales que la Empresa defina para implementar (ISO 17799, 27001, Sarbanes Oxley, Basilea II, etc.).

El procedimiento se orienta a determinar la métrica del desvío en los distintos componentes bajo análisis y sobre esta información se determinan las actividades, los recursos y los plazos razonables para alcanzar los objetivos definidos.

6. LOG Management

Disponer de una elaborada función de trazabilidad es un componente fundamental en la investigación y resolución de cualquier tipo de incidente de seguridad de la información. A este fin, CYBSEC S.A. dispone de las capacidades necesarias para definir, desarrollar y poner en operación una Política de LOGS, configurando los dispositivos de red, sistemas operativos, bases de datos y aplicaciones para centralizar los LOGS para poder finalmente almacenar, analizar y monitorear los mismos.

La metodología desarrollada por CYBSEC S.A. avanza desde el análisis de las características y particularidades de la plataforma informática, para después diseñar e implementar un sistema de Management de LOGS utilizando LOG Servers, configurando los dispositivos de red, sistemas operativos, bases de datos y aplicaciones para centralizar los LOGS y poder finalmente almacenar, analizar y monitorear los mismos.

Esta actividad permite disponer de un registro sistemático y confiable de las actividades realizadas en los múltiples componentes de los sistemas y sobre los datos que ellos mantienen.

7. Evaluación de infraestructuras inalámbricas

El uso intensivo de las comunicaciones inalámbricas hace necesario incluir el componente seguridad, desde el diseño hasta la puesta en operación de las mismas y una vez cumplido esto, el mantenimiento de la seguridad debe asumirse como una rutina básica.

Los servicios prestados por CYBSEC S.A. incluyen el relevamiento de los requerimientos de acceso a la red, los servicios habilitados a tal fin con lo que es posible definir la infraestructura de soporte funcional y de comunicaciones.

En base a esta definición se determina la alternativa más eficiente, para diseñar un esquema funcional seguro que incluye el diseño de las redes inalámbricas, las configuraciones de seguridad de los Access Point y de las terminales a utilizar.

La resultante de estas actividades permite disponer de las significativas facilidades que en algunos casos represente la comunicación inalámbrica, a la vez que se mantiene un nivel de seguridad elevado y que no comprometa la seguridad de la información de toda la instalación.