Nuestros servicios profesionales de tecnología y ciberseguridad a medida te permiten llevar adelante los cambios necesarios en tu empresa con el apoyo de nuestro equipo de profesionales.
ACC: Adoption to Cloud Computing
Muchas organizaciones han tomado la decisión estratégica de migrar
hacia la nube, con el fin de aprovechar los múltiples beneficios que brinda Cloud
Computing, no obstante, no siempre se cuenta con el tiempo y la experiencia para afrontar el
nuevo paradigma de una
manera eficiente y exitosa.
Un gran desafío que deben enfrentar los líderes de infraestructura es identificar las
ofertas más apropiadas de Cloud Computing conforme a las necesidades de la compañía
y de
los objetivos que defina para sus servicios, para lo cual se requiere la especialización en los
distintos
ámbitos del nuevo paradigma.
Si bien el concepto de nube se asocia con la facilidad y simplificación de la problemática
tradicional de la infraestructura, esto será cierto en la medida en que en cada una de las
etapas se vayan tomando las decisiones que beneficien a la organización,
derribando el mito que la nube son equipos virtuales en servidores potentes.
Beneficios
Optimización de la curva de aprendizaje para todo el equipo de trabajo.
Consideración de la amplia gama de proveedores de servicios de nube, con un análisis de ventajas y desventajas adaptado a la realidad de la compañía
Planificación adecuada de la inversión requerida a lo largo de todo el proceso.
Acompañamiento en el proceso de presentación a la Alta Dirección.
Diseño de la arquitectura de Cloud Computing óptima en términos de performance, disponibilidad, seguridad, escalabilidad y costos, basada en la realizada de organización.
Cumplimiento de mejores prácticas y requerimientos legales y regulatorios.
Optimización de costos de operación (TCO - costo total de operación).
Transferencia de conocimiento a lo largo de todo el proceso.
Principales problemáticas
¿Qué proveedores podrían brindar servicios de nube alineados con los requerimientos del negocio?
¿Qué limitaciones existen en la migración y cómo puede minimizarse?
¿Cómo presentar el proyecto de migración frente a quien toma decisiones pero no es técnico?
¿Cuál es el mejor modelo de despliegue? Privada. Pública. Híbrida. Comunidad
¿Qué modelos de servicio elegir? IaaS. PaaS. SaaS
¿Qué servicios utilizar de procesamiento, almacenamiento, base de datos, redes, desarrollo, administración, seguridad y análisis ?
Microsoft Azure: Sitios web. Máquinas virtuales. Servicios Móviles. Servicios en la nube. Almacenamiento. Servicios de multimedia.
Amazon: AWS EC2. EC2 Container Service. Elastice. Beanstalk. Lambda.
Office 365
G Suite
¿Cuál es su arquitectura óptima?
¿Cómo minimizar la probabilidad de la aparición de costos ocultos (no considerados inicialmente)?
¿Cómo adaptar los procesos operativos de administración y operación al nuevo paradigma?
¿Qué tipo de capacitación requiere el personal interno conforme a su nuevo rol?
Estándares asociados al servicio
ISO/IEC 17788 (Information technology. Cloud computing. Overview and vocabulary)
ISO/IEC 17789 (Information technology. Cloud computing. Reference architecture)
ISO/IEC 19086-1 (Information technology. Cloud computing. Service level agreement (SLA) framework. Part 1: Overview and concepts)
ISO/IEC 27017 (Information technology. Security techniques. Code of practice for information security controls based on ISO/IEC 27002 for cloud services)
ISO/IEC 27018 (Information technology. Security techniques. Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors)
NIST Cloud Computing Program
Security Guidance for Critical Areas of Focus in Cloud Computing
Cloud Computing Adoption Framework–a security framework for business clouds
Cloud Computing Adoption Model
Todas las marcas y logotipos son propiedad de sus respectivos dueños
Auditoría de seguridad de código fuente
Source Code Security Audit
El ámbito de desarrollo de software tiende a ser un aspecto en la
gestión de TI que prioriza la creación de aplicaciones que cumplan sus expectativas desde el
lado
funcional. Esta situación provoca la llegada tardía de las medidas de seguridad
generando la aparición de vulnerabilidades. En este ámbito, está comprobado que la detección
temprana de
vulnerabilidades reduce significativamente los costos y pérdidas ocasionadas por los incidentes
de seguridad.
Este servicio consiste en la utilización de diferentes herramientas automáticas, adecuadamente parametrizadas, junto a un análisis manual que requiere el trabajo cooperativo de profesionales de distintas áreas (desarrollo, arquitectura y seguridad). Con esto se hace el procesamiento de los resultados obtenidos, eliminando los falsos positivos, definiendo la criticidad de cada hallazgo, y proponiendo las mejores alternativas de solución. Todo esto permite que, durante las diferentes etapas de desarrollo o mantenimiento de aplicaciones, se puedan identificar riesgos y prácticas inseguras a nivel de código fuente.
Auditoría contínua
Principales áreas de análisis
Autenticación / Autorización
Gestión de sesiones
Cifrado
Validación de datos de entrada
Formas de transmisión de información
Gestión de errores
Ambiente seguro (utilización de memoria, archivos, SQL dinámicos, etc)
Auditoría
Características
Los análisis sucesivos permiten planificar las modificaciones de manera que no impacte en los plazos de desarrollo
Se integra a los tipos de metodologías de desarrollo ágiles
Es un proceso continuo, de análisis mensual, a lo largo de 12 meses
Complementa la fase de QA
Se comprueba la resolución de las vulnerabilidades detectadas y la aparición de nuevas en cada interacción
El team de desarrollo incorpora de manera efectiva los conceptos de seguridad
Mejora la seguridad de todas las aplicaciones generadas por el mismo team
Beneficios
Detección temprana de vulnerabilidades, reduciendo costos y riesgos de incidentes.
Mejora la calidad del producto desarrollado y el conocimiento del equipo de trabajo
Equipo de trabajo multidisciplinario
Profesionales certificados
Metodologías ágiles de trabajo orientadas a resultados
Hallazgos típicos
Posibles desbordamientos de buffer
Alteración del flujo de la aplicación (redirección, accesos a zonas no disponibles)
Posibles inyecciones de código en cliente y/o servidor
Excesos de información en mensajes de error
Posibles abusos de funcionalidad
Almacenamiento de información sensible en archivos no cifrados (configuración)
Vulnerabilidad frente a ataques de ingeniería inversa
ESI: Evaluación de seguridad industrial
ISA: Industrial Security Assessment
La aparición de Internet y su adaptación por parte de
las organizaciones
han generado grandes beneficios tanto a nivel operativo como estratégico, pero al
mismo tiempo han afectado la manera en que se comporta el flujo de la
información en la Organización. Si adicionalmente hablamos de
empresas con actividades industriales se incrementa su nivel de complejidad
afectando la manera en la que se gestiona su seguridad.
Este servicio permite prevenir las fallas de seguridad provenientes de la
integración de sistemas industriales en el ámbito corporativo y su exposición
en Internet. El mismo consiste en la ejecución de diferentes herramientas de
evaluación, cuyos resultados son investigados por nuestros profesionales,
certificados en ciberseguridad, permitiendo un análisis exhaustivo y en
profundidad de la infraestructura crítica y red industrial, conceptualizado los
hallazgos en un informe junto a las acciones de mejora recomendadas.
El alcance cubre las zonas 0, 1, 2 y 3 junto a sus conductos.
Estándares asociados al servicio
Todas las marcas y logotipos son propiedad de sus respectivos dueños
Ejemplos de servicios alcanzados
Equipos SCADA, PLC, RTU, DCS, IEDs, CNC
Servidores
Sistemas operativos
Consolas HMI
Estaciones de trabajo de operadores e ingenieros
Bases de datos
Protocolos de comunicación
Dispositivos de campo, telecomunicaciones
Infraestructura de red de control
Modalidad
Essentials: Trabajo de 1 semana en planta
Deep: Trabajo de 3 semanas en planta
Beneficios
Control preventivo sobre la infraestructura crítica
Mejora en el entorno de seguridad industrial a través de un control independiente
Reduce los costos derivados de incidentes de seguridad
Contribuye al cumplimiento de requisitos exigidos por normativas y estándares
Excelente nivel de análisis y detección de:
Actividad individual por equipos, nodo
Estadísticas y reportes
Bytes enviados / recibidos
Tramas
DNS acciones
Consumos
Nodos caídos o apagados
Broadcast
Direcciones IPS / MacAdress
Netbios
Cargas
Errores
Conflictos
Pérdidas
Latencias
Diagrama de la red
Implementación de ambientes de control
Control environments implementation
Las organizaciones que poseen marcos regulatorios fuertes o un fuerte apoyo al rol de auditoría interna son propicias a la necesidad del establecimiento de ambientes de control que permitan garantizar el cumplimiento de los políticas de seguridad. PSS se encuentra a disposición para lograr la implementación de ambientes de control en las organizaciones.
Ejemplos de servicios brindados
Análisis de riesgo
Diseño de documentación de controles internos IT y Negocio (COBIT, COSO)
Desarrollo de planes de gestión para el ambiente de control
Diseño y ejecución de pruebas
Beneficios
Equipo de trabajo multidisciplinario
Profesionales certificados
Metodologías de trabajo orientadas a resultados
Experiencia en la definición y operación de ambientes de control
Implementaciones tecnológicas
Technological Implementations
La tecnología de la información es un campo que se encuentra en activo movimiento y evolución, esto produce la necesidad de constantes implementaciones y actualizaciones de la tecnología. PSS se encuentra a disposición para lograr la implementación de tecnologías en las organizaciones.
Ejemplos de servicios brindados
Diseño e implementación de Active Directory
Diseño e implementación de infraestructura de correo electrónico
Implementación de firewalls y VPN
Implementación de voz sobre IP y telefonía IP
Implementación y administración de base de datos
Beneficios
Equipo de trabajo multidisciplinario
Profesionales certificados
Metodologías de trabajo orientadas a resultados
Experiencia en la implementación, migración y actualizaciones de tecnologías.
Capacitación y concientización
Training & awareness
El factor humano sigue siendo hoy en día la principal causa de los incidentes de seguridad que ocurren en las organizaciones y esto sucede especialmente cuando los riesgos de seguridad no son comprendidos por su personal, no se encuentran preparados ante las diferentes amenazas del entorno o desconocen el correcto uso de las tecnologías.
Ejemplos de servicios brindados
Diseño e implementación de programas de concientización
Dictado de cursos especializados en seguridad de la información para personal técnico o en general
Desarrollo de amplias herramientas de comunicación
Simulaciones de ingeniería social y phishing
Desarrollo de cursos o capacitaciones online
Beneficios
Equipo de trabajo multidisciplinario
Profesionales certificados
Metodologías de trabajo orientadas a resultados
Experiencia en el armado, ejecución y dictado de actividades de concientización y capacitación
Test de intrusión
Ethical hacking
Las organizaciones que brindan diferentes servicios por medio de Internet se encuentran expuestas a un gran numero de amenazas, entre ellas, los ataques perpetrados por ciberdelincuentes que aprovechan vulnerabilidades de seguridad existentes. PSS se encuentra a disposición para la ejecución de actividades de Ethical hacking que permitan reducir las posibilidades de ataques satisfactorios.
Características del servicio
Actividades de penetración tanto externas como internas
Test de intrusión específicos para redes inalámbricas
Test de intrusión específico para telefonía IP
Test de intrusión en cumplimiento de normativa PCI
Alineado con mejores prácticas en la materia
Diferentes tipos de modalidades: caja negra, caja blanca y caja gris
Beneficios
Equipo de trabajo multidisciplinario
Profesionales certificados
Metodologías de trabajo orientadas a resultados
Identificación temprana de vulnerabilidades
Estándares asociados al servicio
OWASP - Open Web Application Security Project
NIST - National Institute of Standards and Technology
OSSTMM - Open Source Security Testing Methodology Manual
ISSAF - Information Systems Security Assessment Framework
SANS Institute - SysAdmin, Audit, Network, and Security
Todas las marcas y logotipos son propiedad de sus respectivos dueños
Cumplimiento normativo
Regulatory Compliance
Las organizaciones poseen marcos regulatorios fuertes cuya falta de incumplimiento pueden producir perdida de imagen, multas y hasta situaciones penales. PSS se encuentra a disposición para lograr la implementación de procesos de cumplimiento normativo adecuados.
Ejemplos de servicios brindados
Análisis de brecha seguridad en tarjeta de crédito- PCI
Análisis de brecha sistema de gestión de la seguridad ISO 27.001
Análisis de brecha protección de datos personales normativas locales y GDPR
Acompañamiento para el cumplimiento de PCI, ISO 27.001 y GDPR
Análisis de vulnerabilidades PCI
Test de intrusión periódicos PCI
Beneficios
Equipo de trabajo multidisciplinario
Profesionales certificados
Metodologías de trabajo orientadas a resultados
Experiencia en normativas regulatorias y procesos de cumplimiento
Marcos de referencia
GDPR - General Data Protection Regulation
PCI – Payment Card Industry
ISO 27.001 - INFORMATION SECURITY MANAGEMENT
Todas las marcas y logotipos son propiedad de sus respectivos dueños
Test de seguridad de aplicaciones
Application security test
Las organizaciones automatizan sus procesos tantos internos como
externos por medio de aplicaciones que utilizan tecnología web y mobile.
Esta ventaja que permite su masificación también expone a un gran número
de amenazas, entre ellas, los ataques perpetrados por ciberdelincuentes que
aprovechan vulnerabilidades de seguridad existentes.
PSS se encuentra a disposición para la ejecución de actividades de ethical
hacking pensadas en las aplicaciones permitiendo reducir las posibilidades de
ataques satisfactorios.
Características del servicio
Actividades de penetration en aplicaciones tanto externas como internas
Test de intrusión específicos para aplicaciones móviles
Test de intrusión OWASP TOP TEN
Alineado con mejores prácticas en la materia
Diferentes tipos de modalidades: caja negra, caja blanca y caja gris
Beneficios
Equipo de trabajo multidisciplinario
Profesionales certificados
Metodologías de trabajo orientadas a resultados
Identificación temprana de vulnerabilidades
Marcos de referencia
OWASP - Open Web Application Security Project
NIST - National Institute of Standards and Technology
OSSTMM - Open Source Security Testing Methodology Manual
ISSAF - Information Systems Security Assessment Framework
SANS Institute - SysAdmin, Audit, Network, and Security
Todas las marcas y logotipos son propiedad de sus respectivos dueños
Consultoría en seguridad informática
Cybersecurity consulting
Las organizaciones que poseen marcos políticas de seguridad fuertes son propicias a la necesidad de la ejecución de actividades que permitan garantizar su cumplimiento. PSS se encuentra a disposición para la ejecución de diferentes actividades relativas la seguridad informática.
Ejemplos de servicios brindados
Evaluación de la seguridad aplicativa
Análisis de riesgo tecnológico
Evaluación de cumplimiento de normativas y legislaciones
Securización de plataformas
Test de intrusión externos e internos (Ethical Hacking)
Adecuación a la ley de protección de datos personales
Auditorías informáticas
Beneficios
Equipo de trabajo multidisciplinario
Profesionales certificados
Conocimientos de diferentes tecnologías
Metodologías de trabajo orientadas a resultados
Estándares asociados al servicio
COBIT - Control Objectives for Information and related Technology
ISO 27.001 - INFORMATION SECURITY MANAGEMENT
ISO 31.000 – Risk Management
GDPR - General Data Protection Regulation
OWASP - Open Web Application Security Project
NIST - National Institute of Standards and Technology
OSSTMM - Open Source Security Testing Methodology Manual
ISSAF - Information Systems Security Assessment Framework
SANS Institute - SysAdmin, Audit, Network, and Security
Todas las marcas y logotipos son propiedad de sus respectivos dueños
Informática forense
Computer forensics
Ante una problemática o incidente de seguridad, muchas veces, las organizaciones necesitan poder identificar de manera objetiva las posibles causas y orígenes de lo que ha ocurrido. En otras situaciones, la justicia involucrada en ciertas investigaciones requiere también de un proceso objetivo para poder sacar conclusiones. PSS brinda diferentes actividades relativas a la informática forense con el fin de acompañar en los diferentes procesos de organizaciones y particulares.
Ejemplos de servicios brindados
Peritaje de accesos no autorizados a servidores privados
Captura y preservación de evidencias digitales
Peritaje de violaciones de seguridad
Análisis forense de videos, imágenes digitales y audios
Peritaje de seguridad informática corporativa
Peritaje de la infraestructura informática de la empresa
Beneficios
Equipo de trabajo multidisciplinario
Profesionales certificados
Conocimientos de diferentes tecnologías
Metodologías de trabajo orientadas a resultados
Estándares asociados al servicio
COBIT - Control Objectives for Information and related Technology
ISO 27.037 - Guidelines for identification, collection, acquisition and preservation of digital evidence
ISO 27.042 - Guidelines for the analysis and interpretation of digital evidence
NIST - National Institute of Standards and Technology
SANS Institute - SysAdmin, Audit, Network, and Security
Todas las marcas y logotipos son propiedad de sus respectivos dueños