Evaluación de vulnerabilidad
La evaluación de vulnerabilidades se utiliza para identificar, cuantificar y analizar vulnerabilidades de seguridad en la infraestructura y las aplicaciones de TI.
¿Qué se evalúa?
Las cualificaciones de nuestro equipo de seguridad de la información permiten detectar vulnerabilidades y encontrar puntos débiles en los siguientes componentes del entorno informático:
Infraestructura de TI
-Red. Evaluamos la eficiencia de su segmentación de red, la restricción de acceso a la red, la capacidad de conectarse a la red de forma remota, la implementación de firewall.
-Servicios de correo electrónico. Evaluamos la susceptibilidad a ataques de phishing y spamming.
Aplicaciones
-Aplicaciones web. Evaluamos la susceptibilidad de una aplicación web a varios ataques después de los 10 principales riesgos de seguridad de aplicaciones del Open Web Application Security Project (OWASP).
-Aplicaciones móviles. Evaluamos el nivel de seguridad de una aplicación móvil siguiendo los 10 principales riesgos móviles de OWASP.
-Aplicaciones de escritorio. Evaluamos cómo se almacenan los datos en una aplicación, cómo esta aplicación transfiere información, si se proporciona alguna autenticación.
Métodos de evaluación
Escaneo automatizado
Se utilizan herramientas de escaneo automatizado cuya elección depende de sus requisitos y capacidades financieras. Estos escáneres tienen bases de datos, que contienen vulnerabilidades técnicas conocidas y permiten detectar la susceptibilidad de su empresa a ellas.
Evaluación manual
realiza el ajuste manual de las herramientas de escaneo, así como la posterior validación manual de los hallazgos de escaneo para eliminar falsos positivos. Al completar dicha evaluación manual, obtiene resultados confiables que contienen solo eventos confirmados.
Técnicas de clasificación de vulnerabilidades
- Clasificación de amenazas del Consorcio de seguridad de aplicaciones web (WASC).
- Guía de pruebas del Open Web Application Security Project (OWASP).
- OWASP Top 10 Riesgos de Seguridad de Aplicaciones.
- OWASP Top 10 Mobile Risks
- Sistema de puntuación de vulnerabilidades comunes (CVSS).
