Muchas veces, en mesas de trabajo afines a seguridad de la información se escuchan los términos test de intrusión, penetration test, ethical hacking, vulnerability assessment y, muchas veces, también se cree estar hablando de todos los anteriores como uno mismo, cuando en realidad existen diferencias que van mucho mas allá del idioma y la fonética.
No existe un único tipo de análisis de seguridad. Es decir, más allá de que tengan similares características y etapas en común, generalmente varían en su alcance y profundidad.

Vulnerability Assessment

Análisis y pruebas relacionadas con la identificación de puertos abiertos, servicios disponibles y vulnerabilidades conocidas en los sistemas de información objetivos, las mismas incluyen, a su vez, verificaciones manuales y automáticas de falsos positivos, esto permite identificación de los puntos débiles de la red y análisis profesional individualizado. Es un tipo de análisis que busca identificar e informar fallas en los dispositivos y en los procesos tecnológicos. Lo mas importante a destacar es que este tipo de análisis no incluye, bajo ningún punto, las etapas relacionadas con la explotación de las vulnerabilidades identificadas, sino que solo trabaja sobre la correcta identificación de las mismas.

Penetration Test

Se caracteriza por tener un objetivo definido que finaliza cuando el mismo es alcanzado o el tiempo pautado para el desarrollo del análisis se agota. Es un tipo de análisis de seguridad que posee, en sus etapas iniciales, las mismas características que tiene un vulnerability assessment, pero con la diferencia de que no solo trata de identificar e informar las debilidades, sino que también intenta explotarlas a fin de verificar fehacientemente los niveles de intrusión a los que se expone el sistema de información analizado.

Ethical Hacking

Aquí, esencialmente “todo es un objetivo”, el propósito es analizar íntegramente la seguridad de los sistemas de información utilizando –incluso- técnicas de ingeniería social con el fin de descubrir cuáles son las debilidades que podrían llegar a afectar a una organización, mediante las explotaciones de vulnerabilidades del factor humano, o bien, mediante la realización de pruebas para la verificación de los controles de acceso físico.

Conceptos Generales
Independientemente del tipo de análisis de seguridad, existen conceptos y variables comunes entre si.

Posicionamiento

• Posicionamiento externo.
• Posicionamiento interno.

Perfil Emulado

• Usuario sin privilegios.
• Usuario con privilegios.
• Tercero ajeno a la organización con acceso físico a la misma.
• Tercero ajeno a la organización sin acceso físico a la misma.
• Usuario con conocimiento técnico avanzado.
• Usuario con conocimiento técnico básico.

El objetivo de estos párrafos fue definir sucintamente las diferencias que existen entre los distintos análisis de seguridad, con el objetivo de poder identificar mejor, en base las necesidades de su organización, cuál es el análisis de seguridad que más aplica en un determinado momento de tiempo.

Entrgales
Independientemente del tipo de análisis de seguridad que se realice, el aspecto mas importante a través del cual se percibe el valor del servicio es el entregable, es por esta razón que en Root-Secure ponemos un extra de valor en esta etapa con el fin de volcar en el, toda nuestra experiencia.
Sabemos que estamos entregando es información y lo que debemos hacer es concentrarnos en cuál es el verdadero valor de esta información para quien la recibe. Con ella, algunas personas van a poder realizar una tarea, otras, tomar una decisión, mientras que otras, simplemente estar informadas.

Informe Ejecutivo

El mismo estará compuesto por:
• Introducción.
• Objetivo.
• Alcance de las tareas realizadas.
• Sumario hallazgos (Formato Gráfico Ejecutivo).
• Principales fortalezas.
• Principales debilidades.
• Recomendaciones.
• Conclusión.

Informe Técnico

El mismo estará compuesto por:
• Introducción.
• Objetivo.
• Alcance de las tareas realizadas.
• Sumario hallazgos (Formato Gráfico Técnico).
• Principales fortalezas.
• Principales debilidades identificadas (Óptica Criticidad).
• Principales debilidades identificadas (Óptica Impacto).
• Recomendaciones.
• Conclusión.
• Detalle de las herramientas utilizadas.

Presentación Final

La misma estará compuesto por:
• Exposición Oral y Conclusiones ante Directores.
• Exposición Oral y Conclusiones ante Personal Técnico.

Consideramos que uno de los aspectos importantes de los análisis de seguridad es que las pruebas que se realizan durante el mismo sean repetibles, es por esa razón que entregaremos toda la información detallada y dividida en categorías, como así también, las herramientas gratuitas divididas por categorías asociadas a las etapas del servicio profesional realizado.

El principal objetivo de llevar adelante un Análisis de Riesgos es el de proveer a la Gerencia y a la Dirección, una clara visión de la situación actual que facilite y soporte la Toma de Decisiones.

Definición de Riesgo

Se trata de identificar aquellos eventos que están ocurriendo o tienen probabilidad que sucedan, y determinar su impacto en la Organización.
Por lo tanto, el Riesgo consta de tres elementos:

• Evento (¿Qué puede susceder?).
• Probabilidad (¿Qué tan factible es que suceda?)
• Impacto (Si sucede, ¿Qué tan mal nos va a ir?)

Si bien existen diversas clasificaciones de Riesgo, estas pueden ser divididas en dos:

• Riesgos de Negocio: están generalmente relacionado con elementos externos a la organización, como ser, por ejemplo, el entorno económico, competitivo, legal, etc. Este tipo de Análisis soporta la Toma de Decisiones en el plano Estratégico de la Organización.
• Riesgos Operacionales: están íntimamente ligados con las operaciones internas de la empresa. En nuestro caso, los Riesgos de TI y SI son riesgos netamente operacionales.

Metodología de Análisis de Riesgos

Existe dos enfoques complementarios, que pueden ser integrados potenciando su resultado, o realizados en forma independiente uno de otro:

• Análisis de Procesos:Consiste en analizar los procesos y controles que administran los Riesgos desde una óptica de Diseño, permitiendo llegar a conclusiones de problemas endémicos que se repiten en el tiempo. (ej. El Administrador de la Red puede realizar cambios sin control asociado).
• Análisis Técnico:Trabaja sobre los activos y su configuración, tratando de determinar desvíos respecto de estándares establecidos (ej. problemas de configuración del firewall).
• Análisis Mixto:Luego de una revisión de los procesos y sus controles, para aquellos que son adecuados, se realizar una verificación técnica que corrobora los resultados (ej. existe un control de cambios sobre la red y el análisis de los dispositivos es adecuado).

Nuestro servicio

Basado en los principales estándares de Análisis de Riesgos (BS 31100 / ISO 27005), de TI y SI (CobIT 4.2, ISO 27002, ITIL v.3), propone un esquema modular que complemente tanto el enfoque de procesos como el enfoque técnico, dando así una visión más completa y certera del estado de arte de la Seguridad y TI.

Metodología de trabajo

1. Capacitación del personal en la metodología para una adecuada transferencia de Know-How minimizando el requerimiento de una consultora para continuar el trabajo.
2. URA (Unit Risk Assessment) por medio del cual se identifican los procesos críticos para la Organización a fin de determinar claramente el Alcance del trabajo a realizar. Se tienen en consideración tanto aspectos operacionales (ej. administración de redes, de usuarios, etc) como estratégicos (Plan Estratégico, Dirección Tecnológica, Estructura Organizacional, etc.)
3. Esquema de Coaching / Self-Assessment, donde bajo nuestra supervisión, es la misma empresa quien realiza el Análisis versus un enfoque de Auditoría, donde nuestros especialistas realizan el Análisis.
4. Se parte de un Análisis de Procesos, donde se identifican rápidamente las principales falencias de control que ponen en riesgo la Organización.
5. Para aquellas actividades que se consideren críticas, se cuenta con la alternativa de reforzar las conclusiones con un Análisis Técnico
6. Las conclusiones dan solución a temas técnicos específicos, como para orientar a la gerencia y unidades de Negocios.

Objetivo

Uno de nuestros pilares fundamentales es la investigación y desarrollo permanente en temas de Seguridad de la Información, manteniendo así un alto compromiso con los servicios que nuestros clientes requieren e incrementando la experiencia de nuestro personal.
Sin embargo, consideramos que esto no es suficiente si no podemos trasladar este know-how en beneficio de quienes requieren nuestros servicios.
Por este motivo es que hemos desarrollado una serie de talleres que buscan combinar dos características fundamentales en la entrega de servicios:

• Capacitar al Personal de nuestros Clientes sobre temas específicos que requieran.
• Trabajar sobre ejemplos concretos de la Organización.

Esto permite no solo realizar una transferencia de conocimientos teóricos, sino además poder plasmarlos en temas prácticos que podrán ser aplicados en casos reales.
Ponemos a su disposición los siguientes talleres:

• Introducción a la Seguridad de la Información.
• Ethical Hacking.
• Análisis de Riesgos.
• Exploiting & Securing Wireless Technologies.
• Auditoría de Sistemas.
• Hardering de plataformas Microsoft.
• DRP-BCP.
• Legislación en temas de Seguridad de la Información.
• Análisis Forense.
• Bootcamp CISSP.
• Sistema de Gestión de Seguridad.