El objetivo de esta auditoría es revisar, desde el punto de vista de la Seguridad, todos aquellos aspectos que implican los Sistemas de Información de la empresa. En estas auditorías se llevan a cabo revisiones técnicas exhaustivas de los sistemas, convirtiendo este análisis en un estudio integral y profundo a todos los niveles de los SI.
El resultado proporciona una visión exacta de las necesidades presentes y futuras en materia de seguridad de éstos, con la confianza de estar siguiendo los aspectos de un estándar de calidad y confianza reconocido a nivel mundial como es la ISO 17799.
CARACTERÍSTICAS DEL SERVICIO
La metodología seguida por Neurosec tiene como objetivo permitir la revisión exhaustiva de los aspectos de seguridad de todos los componentes dentro de los Sistemas de Información de la empresa, que cubren los siguientes aspectos:
- Seguridad de la Red: Análisis de la estructura de la red, revisión de los dispositivos encargados de controlar el flujo de datos, de la configuración y estado de dispositivos de acceso remoto e inalámbrico y de los dispositivos de protección, filtrado y detección de intrusiones así como detección de puntos públicos no asegurados.
- Seguridad de Servidores y Servicios de Red Internos: Detección de servidores y servicios con versiones no actualizadas, de configuraciones inadecuadas de Sistemas Operativos y Servicios de Red y de requerimientos de seguridad (actualizaciones y parches, ajustes de configuración de seguridad o procesos completos de aseguramiento).
- Sistemas de Gestión de Disponibilidad de Sistemas y Datos: Detección de deficiencias en la Política de respaldo (Backup) o su aplicación, en los Sistemas de Monitorización o Gestión Remota y en los Planes de Contingencias y Continuidad o en su aplicación; detección de dispositivos y sistemas de criticidad elevada para la continuidad del negocio; y comprobación de las medidas de tolerancia a fallos aplicados.
- Sistemas de Protección: Revisión de la Seguridad de los Sistemas de Contención y Filtrado de Contenidos, detección de anomalías en el funcionamiento de los sistemas de protección a nivel de aplicación (Antivirus, Anti-spam y Filtrado de Contenidos -Web, FTP, P2P...-), identificación de requerimientos de seguridad (necesidad de actualización o aplicación de parches, deficiencias de configuración de Seguridad y ámbito de actuación) y posibilidad de compromiso legal o daño a la imagen.
- Seguridad de los Ordenadores de Usuario: Determinar la capacidad de un usuario de realizar acciones sin control por los administradores de la red en o desde su máquina (comprometer un sistema, acceder o compartir datos o recursos e instalar o desinstalar el software) y detección de máquinas no actualizadas y con sistemas de seguridad no habilitados o no configurados (antivirus de cliente, firewalls personales, herramienta de monitorización o gestión remota...).
Resultados
Informe: Se elabora un informe detallado donde se incluye:
- Resumen ejecutivo de alto nivel.
- Detalle de todas las pruebas realizadas especificando su objetivo.
- Resultados obtenidos en los diferentes test que se han realizado.
- Recomendaciones que permitan solucionar de la forma más acertada los problemas de seguridad encontrados.
- Clasificación de los problemas de seguridad según su nivel de peligro. Esto permitirá a la empresa poder elaborar un plan de actuación eficiente para resolver estos problemas de seguridad.
Workshop: Reunión orientada a explicar los resultados obtenidos en la auditoría y asesorar sobre las posibles soluciones que existan para los problemas de seguridad encontrados.