Auditorías de Seguridad Web

Desde Tuvika te ofrecemos la posibilidad de realizar una serie de auditorías de seguridad. Más de un centenar de empresas han confiado ya en ellas para detectar posibles vulnerabilidades en sus sistemas.

AUDITORÍA PERIMETRAL

Con ella evaluamos la seguridad que ofrece la red corporativa de tu empresa.

Para llevar a cabo las auditorías perimetrales primero identificamos con la mayor precisión posible la red de trabajo de tu organización y los sistemas que la conforman. Después buscamos e intentamos explotar vulnerabilidades que pongan en entredicho la seguridad de tu sistema.

Poniendo en evidencia estas vulnerabilidades te ayudamos a resolverlas para evitarte pérdidas de información, de clientes, de recursos o problemas de reputación.

ANÁLISIS y AUDITORÍAS WEB.

Prepárate, ¡vamos a hacer un simulacro!

Desde TUVIKA simularemos un ataque real, con el fin de comprobar los niveles de seguridad que ofrece tu sistema, la resistencia a robos de información o denegación de servicio.

En este caso nos centramos en tus propios sistemas de información, como pueden ser servicios web, sistemas gestores de bases de datos, servidores de ficheros y cualquier otro lugar del que se pueda obtener información o puedan facilitar credenciales de usuarios para otros servicios, ofrecer ejecución de programas o comandos en los sistemas.

Tu web es tu tarjeta de presentación al mundo. Sin embargo, puede contener una gran variedad de errores susceptibles de alterar la imagen de tu marca en la red, facilitar robos de información de tus bases de datos, e incluso borrar todos tus ficheros online o bloquearte el acceso a ellos.

Es muy probable que tu web incluya algún formulario de contacto, la posibilidad de descargar y/o subir ficheros, consultas a bases de datos o sistemas de búsquedas de datos dentro de la propia web.

Si el desarrollo no ha sido realizado teniendo en cuenta la seguridad desde el primer momento, existe una gran probabilidad de que contenga fallos que permitan el acceso al servidor, pudiéndose inyectar código que manipule su imagen o facilite el robo de información.

Los tipos de test de intrusión a llevar a cabo pueden ser los siguientes, según las necesidades que muestre cada cliente en particular.

Caja Negra

En este tipo de test de intrusión, el atacante no posee ningúna información previa sobre el cliente, excepto lo que este publica voluntariamente en sus sistemas de información.

A partir de aquí el atacante deberá actuar de la misma forma que lo haría un atacante externo de intenta explotar vulnerabilidades del sistema o extraer información privada contenida en este.

Este es el método de trabajo más interesante para hacer una simulación de ataque lo mas realista posible tal como haría un atanque en el mundo real.

Caja Blanca

Este tipo de estudios, en contraposición al anterior, se realiza con toda la colaboración posible con el cliente, recibiendo toda la información necesaria para tener un conocimiento lo más detallado posible del funcionamiento interno del sistema, recibiendo por ejemplo documentación de los servicios y aplicaciones existentes, código fuente de estas si son desarrollos internos o realizados a medida por terceras empresas, etc.

Este es un proceso más lento y costoso que el anterior, pero ofrece más garantías de encontrar fallos en los sistemas auditados, aunque no recibimos una información real del alcance de un ataque puramente externo, tal como en el método anterior.

Caja Gris

Es una combinación de los dos métodos anteriores, y por lo tanto es el más interesante para el cliente cuando el tiempo es un factor a tener en cuenta, y lo que interesa es detectar una cantidad elevada de fallos en el plazo más corto posible.

NUESTRA METODOLOGÍA

Los análisis que lleva a cabo TUVIKA se ajustan a la documentación exigida en la normas de los marcos de trabajo: