auditoria-en-ciberseguridad-cabecera

La auditoría de seguridad informática o auditoría de Ciberseguridad, es uno de los medios que puede aplicar la empresa para tener un control de la situación de la seguridad de sus sistemas informáticos e infraestructura IT.

Esta tiene la finalidad de detectar posibles vulnerabilidades y deficiencias para, de este modo, poder proponer medidas para mejorar y asegurar la protección de los datos e información crítica de la empresa.

Una vulnerabilidad informática, implica una deficiencia por la que los sistemas de una empresa en mayor o menor grado están expuestos a sufrir una amenaza de seguridad. Es por ello que la empresa debe categorizar el riesgo expuesto y evaluar el grado de solución que debe adecuar a la vulnerabilidad o a la probabilidad de que ocurra dicho evento.

Los riesgos a los que su empresa puede estar expuesto, pueden ser de diferente índole, desde TechConsulting recomendamos la utilización de la metodología Magerit V3 para dicha gestión de riesgos, pero esto es parte de otro tipo de servicios de consultoría que no se ciñe a la descripción de este servicio.

FASES DE LA AUDITORÍA DE CIBERSEGURIDAD

Las pruebas realizadas son distintas en función del tipo de servicio a auditar, y buscan realizar un examen lo más completo posible de las vulnerabilidades que se puedan presentar en el desarrollo objeto del estudio.

Las acciones generales sobre las que se realiza la auditoría de Seguridad son las siguientes:

  • Análisis global situación actual
  • Análisis de procedimientos y legal / SGSI / Normas / RGPD / Compliance.
  • Análisis de seguridad perimetral.
  • Análisis de red y cifrados.
  • Análisis de comunicaciones.
  • Análisis de Hardware
  • Análisis de software
  • Análisis de vulnerabilidades
  • Análisis de entornos Cloud.
  • Análisis External Footprinting.

En el informe entregado, a parte del reporte de cada una de las anteriores fases, se ofrecerán los siguientes anexos:

  • Propuestas de mejora tecnológica en todos los aspectos mencionados.
  • Recomendaciones para solventar vulnerabilidades o errores de configuración
AUDITORÍA TIPO WHITE HAT

La auditoría se considera amistosa, por este motivo el cliente deberá colaborar, bien directamente o a través de un responsable, con el auditor, aportando toda la información necesaria para la realización de los diferentes trabajos de auditoría.

PRUEBAS  DE AUDITORÍA EN CIBERSEGURIDAD

Dentro de los respectivos análisis, el auditor realizará diferentes baterías de pruebas técnicas y teóricas para poder abarcar el alcance del análisis de la Fase y poder asegurar los resultados eficientes y veraces para cada unos de los apartados.    

Algunos de las baterías de pruebas que podrían ser realizadas según el auditor serían, clasificadas por tipo:

PRUEBAS TÉCNICAS TIPO FASE ANÁLISIS RED, COMUNICACIONES, HARDWARE, ..

  • Escaners automatizados
  • Pruebas manuales
  • Detección de tipos de servicios con sus respectivas versiones
  • Límites de intento de sesión a un servicio
  • Fuzzing
  • Análisis de métodos de autenticación
  • Ruptura de cifrados ( si los hay)
  • Pivoting a la red interna
  • Búsqueda de hashes de usuarios
  • Análisis de reglas de firewall
  • Bypass al firewall
  • Ataques de diccionario
  • Búsqueda de vulnerabilidades públicas en versiones detectadas
  • Explotación de las mismas
  • En caso de acceso a la red interna, escalada de privilegios
  • Comprobación de efectividad de antivirus
  • Bypass Antivirus
  • Análisis de IDS y generación de alertas
  • Comprobación de certificados SSL (ruptura)
  • Descubrimiento de equipos en la red

………..

PRUEBAS TÉCNICAS TIPO ENTORNOS CLOUD

  • SQL Injection
  • XSS (Cross-site scripting)
  • LFI ( Inclusión de ficheros locales)
  • RFI (Inclusión de ficheros remotos
  • CSRF
  • Métodos soportados por el servidor (head, trace, get, post, put, options, etcétera)
  • BlindSQL Injection
  • Bypass a sistema de autenticación (formulario)
  • Solicitudes falsificadas en sitios cruzados
  • Validación de variables recibidas por el servidor
  • Listados de directorio
  • RCE (Ejecución de comandos en el servidor)
  • LDAP Injection
  • Descubrimiento de directorios ocultos
  • Fuerza bruta a directorios
  • Ataques XML
  • Subida de ficheros
  • Comprobación de certificados SSL (ruptura)
  • ………..

PRUEBAS TÉCNICAS TIPO FASE EXTERNAL FOOTPRINTING

  • Descubrimiento de DNS
  • Identificación de CMS (si lo tiene)
  • Banner Grabbing (Versiones de servicios)
  • Descubrimiento SMTP
  • Protocolo SNMP
  • Detección de IDS/IPS
  • Extraer información del dominio
  • Análisis de SMB
  • Google Dorking
  • Shodan Hacking
  • Emails visibles en Internet para realización de ataques en un futuro.
  • Recopilar información extra para la realización de ataques de Ingeniería Social.
  • ………..
audiotoria ciberseguridad
Déjanos que 
mejoremos tu seguridad.
te ayudemos a dormir tranquilo.
evolucionemos juntos.
te demostremos que la seguridad es para todos.