Auditoria General
Examinar información en Internet
Definir puntos de Auditoría de Red
Inspección de la red
Escaneo de puertos
Identificación remota de sistemas
Pruebas de servicios
Pruebas de servicios comunes
Escaneo Automático de Vulnerabilidades
Acceso a bases de datos
Elaboración de informes
————————————————————————————————————-
Análisis de riesgos son:
Activos:
Identificación
Valoración
Amenazas y vulnerabilidades
Caracterización de las amenazas
Identificación
Valoración
Controles/Salvaguardas
Caracterización de las salvaguardas
Identificación
Valoración
Riesgo
Estimación del impacto
Estimación del riesgo
Plan de gestión de riesgos
Toma de decisiones
Declaración de Aplicabilidad (SOA
——————————————————————————————————
Hacking Ético o Test de Intrusión
El objetivo de una Auditoría de Hacking Ético es analizar y evaluar la situación actual de las arquitecturas frente a
ataques internos/externos.
Los auditores de Áudea Seguridad de la Información, siguiendo la metodología internacionalmente
reconocida OSSTMM y OWASP auditan los sistemas como si de un atacante malintencionado se tratase.
Principales aspectos contemplados en la auditoría de Ethical Hacking :
Information Gathering: Pretende obtener toda la información de libre acceso disponible sobre la empresa o entidad a
estudiar.Estudio y análisis de la red: Se efectúa desde un punto de conexión a la red a estudiar y se considera
intrusiva, obteniéndose: Listado de equipos activos y sus servicios, mapa de red, etc.
Detección de vulnerabilidades: El objetivo es listar todas las posibles vulnerabilidades para todos los equipos y
servicios detectados.
Obtención de acceso: Obtención de contraseñas, elevación de privilegios, y acceso a datos, o ubicaciones restringidas.
Análisis aplicaciones web mediante metodología OWASP: Búsqueda de fallos de seguridad en aplicaciones desarrolladas
con cualquier tecnología y lenguaje de programación.
El resultado final es un informe detallado con las deficiencias detectadas y el plan de acción necesario para
mitigar los riesgos. Asimismo, se desarrolla un informe ejecutivo que permita trasladar a la Dirección en otro
lenguaje menos técnico, el resultado del test de intrusión.
Sus sistemas pueden ser vulnerables, ¿ha comprobado lo que un atacante externo o interno puede llegar a hacer?
——————————————————————————————————–
SEGURIDAD WIRELESS
De todos es sabido que las redes WLAN son en sí mismo inseguras. Esto, unido a la existencia de esquemas de
seguridad demostradamente inseguros, como WEP, hace que deba plantearse seriamente la seguridad de su arquitectura
de red inalámbrica.
Siguiendo la metodología internacionalmente reconocida OSSTMM WIRELESS, el equipo de trabajo realizará las
siguientes comprobaciones en su arquitectura WLAN:
Evaluar el hardware, firmware y sus actualizaciones.
Evaluar el perímetro de seguridad, comprobando que la señal no es alcanzada fuera de la organización.
Verificar que no existen interferencias con otros dispositivos inalámbricos o electrónicos en las frecuencias en
las que operan.
Verificar la posibilidad de capturar y obtener información. desde los dispositivos wireless.
Verificar el cifrado en uso.
Analizar vulnerabilidades de la infraestructura WLAN, en búsqueda de fallos que permitan hacerse el control de
rio para mitigar los riesgos detectados en su infraestructura WLAN.
¿Sabía que una WLAN es la entrada perfecta para hackers e intrusos internos o externos?