La seguridad de la información en la empresa tiene tres pilares fundamentales: las tecnologías, la educación y la gestión. Mientras que las tecnologías siempre estuvieron ligadas a la seguridad, o al menos de forma intuitiva para el usuario (es fácil asociar un antivirus, un firewall o una contraseña a la seguridad), también hace muchos años se insiste (e insistimos) con la importancia de la educación en seguridad, dada la cantidad de amenazas informáticas basadas en la Ingeniería Social.
No obstante, asociar la seguridad de la información a la gestión es un concepto relativamente moderno, y los especialistas en seguridad de la información están pidiendo mayor foco en este aspecto para una eficiente protección en entornos corporativos.
En ese contexto, el año pasado lanzamos ESET Intelligence Labs, la nueva unidad de ESET Latinoamérica a través de la cual brindaremos servicios de seguridad a empresas de la región.
En esta primer etapa, hemos decidido comenzar brindando servicios orientados a la auditoría de la seguridad, lo que implica poder evaluar cuál es el estado actual de determinados aspectos, de forma tal de poder proponer un plan de acción correctivo para el cliente.
¿Cuáles son los servicios que se brindan?
Vulnerability Assesment
Consiste en realizar análisis sobre los sistemas y servicios disponibles, a fin de encontrar vulnerabilidades conocidas. Una vulnerabilidad es un error que permite que se realicen acciones no deseadas sobre un sistema. Dichas acciones pueden ser una interrupción del servicio, acceso a funciones o información sin tener autorización, escalamiento de privilegios sobre la misma o ejecución de código en el sistema; entre otros.
Es decir que, al existir una vulnerabilidad en una aplicación, un atacante (malintencionado o involuntario) podría causar un problema que afecte la seguridad de la información de una empresa, afectando alguno de los principios de protección de los datos: su disponibilidad, integridad o confidencialidad.
Una vulnerabilidad de una aplicación radica en su código fuente, es decir, implica algún error u omisión al momento de la programación de la misma. Una vulnerabilidad en un sistema puede estar relacionada a una mala configuración del mismo, como por ejemplo utilizar contraseñas por defecto en el mismo.
Penetration Testing
Cuando existe una vulnerabilidad en un software, esta puede ser explotada. Es decir, un atacante explota una vulnerabilidad cuando se aprovecha de la misma con fines maliciosos. Este servicio incluye las mismas etapas de descubrimiento que un Vulnerability Assesment, pero incluye el intento de explotación de las vulnerabilidades a fin de verificar fehacientemente los niveles de intrusión a los que se expone el sistema de información analizado.
Por ejemplo, al existir un acceso a un sistema, no es igual el impacto para la organización si el mismo un servidor en desuso, sin información o sin conexión a la red interna; que si el mismo almacena las bases de datos con información confidencial del negocio.
GAP Analysis
Permite verificar el grado de cumplimiento de seguridad de una organización respecto a determinada legislación, normativas o estándares internacionales; como así también permite evaluar el riesgo ante la fuga de información.
Para llevar a cabo estos servicios, y poder brindar la calidad que nuestros clientes ya conocen de ESET y sus productos, hemos realizado una alianza con Root Secure y SIClabs, empresas líderes de la industria en brindar soluciones integrales, como así también hemos integrado a nuestro equipo analistas en seguridad que seguirán las buenas prácticas y procesos de calidad que hemos utilizado estos años en nuestro equipo de de Educación e Investigación.
Los invitamos a visitar el sitio de ESET Intelligence Labs para conocer más sobre los servicios que ofrecemos. Para más información, no duden en contactarnos, y los ayudaremos a encontrar vulnerabilidades antes de que los atacantes lo hagan.
Sebastián Bortnik
Gerente de Educación y Servicios