El Servicio de Auditorías de Seguridad de Data Adviser proporciona una evaluación independiente y objetiva del Estado de la Seguridad de los Sistemas de Información de tu organización.

Diagnóstico de Seguridad

Mediante la identificación de tu información crítica, el análisis de riesgos, y el estudio de vulnerabilidades, la auditoría de seguridad te ayuda a prevenir incidentes de ciberseguridad que te pudieran causar pérdidas económicas y daños en tu imagen de marca.

Plan de acción

Como resultado de la evaluación, el servicio de auditoría entrega un informe en el que se identifican posibles vulnerabilidades y fallos de seguridad, y finalmente se proponen  medidas guiadas para cumplir el objetivo: solucionar las debilidades encontradas y prevenir las posibles futuras.

El Servicio de Auditoría de Data Adviser se adapta a las necesidades de cada organización, tanto en lo que se refiere a su infraestructura informática, como a las normativas de cumplimiento, y también al presupuesto.

Desde Data Adviser recomendamos el servicio de auditoría progresiva que facilita una protección continuada en el tiempo, y una mejor forma de mitigar los riesgos. También disponemos de auditorías de seguridad puntuales tanto de carácter interno, como auditorías externas, de servicios web, de aplicaciones móviles; así como auditoría de seguridad continua, que permite monitorizar en todo momento el estado de seguridad de la infraestructura de TI.

• Somos Partner en seguridad de IBM, Microsoft, ESET, Fortinet y Simarks.
• Nuestro equipo de profesionales poseen certificados CISA, CISM y CISSP que garantizan la calidad de los procedimientos.
• Ejecutamos las auditorías bajo un compromiso de confidencialidad de información con nuestros clientes.
• Empleamos una metodología de trabajo basada en estándares de buenas prácticas como el Risk IT Framework de ISACA, OSSTMM, OWASP Top 10, NIST 800-37 y NIST 800-53.
• Adaptamos los presupuestos al alcance del servicio y a las necesidades de cada proyecto.

1. Evaluación de seguridad informática (ESI)
2. Auditoría interna progresiva (AIP)
3. Auditoría interna dinámica (AID)
4. Auditoría externa progresiva (AEP)

La evaluación de seguridad informática tiene como objeto la obtención de una primera aproximación del estado de la seguridad de la información; así como del grado de protección de la infraestructura informática de tu compañía.

Este es el esquema de actividades:

1. Toma de datos
2. Exploración
3. Análisis de vulnerabilidades
4. Redacción de informe

Este servicio es útil para conocer el nivel de seguridad global de la organización y saber en qué herramientas de seguridad conviene empezar a invertir. Por ejemplo, antes de la adquisición o la migración del antivirus corporativo, del cortafuegos, o de cualquier otra herramienta de protección de su infraestructura de TI.

Tiene como propósito determinar el nivel de seguridad de la infraestructura informática, tomando como vectores de ataque aquellos que puedan ser iniciados desde dentro de la propia organización. Este tipo de auditoría persigue principalmente la detección de posibles fugas de información, y la disminución de la probabilidad de sufrir fraudes informáticos como el ransomware.

Etapa 1
Consta de una auditoría interna de seguridad en la fecha acordada, y comprende lassiguientes actividades:

1. Definición del alcance de la auditoría
2. Establecimiento del plan de trabajo
3. Recopilación de información mediante identificación de activos e inventario
4. Análisis de vulnerabilidades en los siguientes aspectos:
5. Red LAN corporativa cableada
6. Redes inalámbricas de la organización
7. Servidores y equipos conectados a la red LAN corporativa
8. Gestión de usuarios y permisos de acceso a los activos críticos
9. Redacción del informe de auditoría de seguridad
10. Presentación del informe ejecutivo de la auditoría de seguridad

El informe final ofrece una visión global del estado de la seguridad y facilita una serie de recomendaciones y mejoras. Se entrega informe técnico e informe ejecutivo.

La duración de esta etapa depende del alcance de la auditoría y es establecido en elcontrato.

Etapa 2
Se realiza una revisión de la seguridad interna de la organización con la periodicidad acordada entre la compañía y Datadviser. Siendo recomendable cada cuatro meses.

Basándose en la auditoría de seguridad realizada inicialmente, se desarrolla un documento con los controles de seguridad necesarios que verifiquen la protección de los activos y la infraestructura de la organización

Las tareas que se llevan a cabo en estas revisiones son:

1. Verificación de los controles definidos en el documento maestro de controles en lossiguientes aspectos:
   a) Políticas de seguridad y procedimientos
   b) Servidores
   c) Puestos de trabajo y dispositivos móviles
   d) Red LAN corporativa
   e) Redes inalámbricas
2. Análisis de la seguridad de nuevo hardware y software.
3. Revisión de políticas de seguridad de los sistemas informáticos
4. Elaboración de informe técnico y ejecutivo
5. Presentación del informe ejecutivo de la auditoría de seguridad

Una auditoría dinámica es aquella que se realiza de forma continuada en el tiempo, y que permite garantizar la seguridad de la información de una forma proactiva. Se suele implementar después de una auditoría de seguridad interna previa.

La auditoría dinámica se apoya en una solución de seguridad hardware y/o software que es la que se encarga de la vigilancia de los sistemas informáticos.

Estas soluciones también llamadas escáneres de vulnerabilidades reportan al auditor todo tipo de avisos y alertas de seguridad, que serán analizados por él; y cuyas conclusiones se plasman en un informe que se entrega al cliente con la frecuencia que se acuerde en el contrato.

La finalidad de la auditoría de seguridad externa es determinar el nivel de seguridad de la infraestructura informática de la empresa cliente, tomando como vectores de ataque aquellos servicios que pueden ser accedidos a través de Internet .

La auditoría externa puede ir acompañada de un test de intrusión que verifique el daño que puede realizar un ataque externo desde fuera de la red corporativa.

Consta de una auditoría de seguridad externa en la fecha acordada, y comprende lassiguientes actividades:

1. Definición del alcance de la auditoría
2. Establecimiento del plan de trabajo
3. Adquisición de información y enumeración de objetivos
4. Evaluación de vulnerabilidades
5. Explotación de vulnerabilidades
6. Elaboración de informe técnico y ejecutivo
7. Presentación del informe ejecutivo de la auditoría de seguridad

Se aconseja realizar una revisión de la seguridad externa de la organización para comprobar que las medidas de seguridad recomendadas en el informe de auditoría han surtido el efecto deseado. Así mismo es conveniente repetir la auditoría de seguridad cuando se produzcan cambios considerables en el software, o en el hardware de la infraestructura de TI externa de la organización. Siendo altamente recomendable realizar al menos una revisión de la auditoría con carácter anual.

Las revisiones se llevan a cabo basándose en la auditoría de seguridad realizada inicialmente, y sobre un conjunto de controles de seguridad que ayuden a verificar la protección de los activos.