Nuestros Servicios

Nuestros servicios se basan en las tres características esenciales de la
seguridad de la información confidencialidad, integridad y disponibilidad.

CONÓZCALOS
 

Análisis de vulnerabilidades

Las compañías se enfrentan a un riesgo permanente debido a un amplio rango de atacantes potenciales, que incluyen desde empleados descontentos, espías industriales, hasta hackers. Y es el manejo adecuado de sus vulnerabilidades el proceso que podrá garantizarle la toma de decisiones idóneas para la protección de sus activos de información.

 

Una vulnerabilidad significa un riesgo tecnológico y el mismo es una característica inherente de un activo de información. Las vulnerabilidades pueden ser detectadas con Pruebas de vulnerabilidad o Pentest. Cuando se materializa un riesgo tecnológico y existe una vulnerabilidad que pueda ser explotada, hay una posibilidad de ocurrencia de cualquier tipo de daño relacionado con la confidencialidad, integridad, disponibilidad y autenticidad de los datos empresariales.

El equipo de expertos de Yaakov´s Group lleva a cabo análisis y pruebas relacionadas con la identificación de puertos abiertos, servicios disponibles y detección de vulnerabilidades en los sistemas de información.

 

Ingeniería Social

La ingeniería social se basa en la psicología. Existen diferentes incentivos y motivadores en las personas que permiten a los ingenieros sociales llevar a su víctima a actuar, además las empresas deben conocer las amenazas reales a las que se enfrentan, por lo que realizar pruebas frente a ataques de ingeniería social debe ser algo obligado para todas las compañías.

Por sus características y porque su principal herramienta es la adaptación a diferentes escenarios y personalidades, la ingeniería social es una de las técnicas más complejas de evitar y puede llegar a ser indetectable o cuestionable, dado que maneja aspectos de psicología que no podrían ser puestos en evidencia.

El equipo de expertos de Yaakov’s Group utiliza la Ingeniería social para evaluar el comportamiento humano de los empleados en una organización, ante los ataques más conocidos y explotados en el campo de la ingeniería social y a traves de estas tecnicas se identifican puntos fortalezas y debilidades sobre las políticas de seguridad implementadas, así como su nivel de conocimiento y aplicacion en las labores diarias.

 
 

Auditoría de TI

El servicio de Auditoría de TI consiste en realizar evaluaciones relacionadas con los riesgos y el control de las Tecnologías de Información de una entidad. Este servicio puede prestarse como parte de un Cosourcing de Auditoría Interna, como un acuerdo de Outsourcing, o como un servicio contratado.

 

Es un proceso llevado a cabo por profesionales especialmente capacitados para el efecto, el mismo consiste en recoger, agrupar y evaluar evidencias para determinar si un sistema de información: Salvaguarda los activos de informacion de su empresa, mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la organización, utiliza eficientemente los recursos, y cumple con las leyes y regulaciones establecidas. Adicionalmente permite detectar de forma sistemática el uso de los recursos y los flujos de información dentro de su empresa y determinar qué información es crítica para el cumplimiento de su misión y objetivos, identificando necesidades, costes, valor y barreras, que obstaculizan flujos de información eficientes.

La auditoría de TI llevada a cabo por Yaakov´s Group le permitirá a través de una revisión independiente, la evaluación de actividades, funciones específicas, resultados u operaciones de una organización, con el fin de evaluar su correcta realización.

 

Políticas y procedimientos

Las distintas gerencias de las compañías están en el deber y en la responsabilidad de consagrar tiempo y recursos suficientes para asegurar que los activos de información estén suficientemente protegidos. Cuando ocurra un incidente grave que refleje alguna debilidad en los sistemas informáticos, se deberán tomar las acciones correctivas rápidamente para así reducir los riesgos.

 

La información perteneciente a la compañía debe protegerse de acuerdo a su valor e importancia. Deben emplearse medidas de seguridad sin importar cómo la información se guarda (en papel o en forma electrónica), o como se procesa (PCs, servidores, correo de voz, etc.), o cómo se transmite (correo electrónico, conversación telefónica).

La finalidad de las políticas de seguridad de la información debe consistir en proporcionar instrucciones específicas sobre cómo mantener más seguros tanto los activos informáticos de La su empresa (conectados o no en red), como la información guardada en ellos. Para llevar a cabo esta labor Yaakov´s Group cuenta con mas de 10 años de experiencia en el campo los cuales garantizaran lograr la confidencialidad, la integridad y la disponibilidad de los activos de su empresa.

Para la elaboración de las políticas, Yaakov´s Group se apoya en estandares internacionales y aceptados por las grandes industrias como GLBA, HIPAA/HITECH, o PCI y las mejores prácticas de seguridad generales, que abarcan temas integrales.

 

Pruebas de penetración

Las pruebas de penetración (Pen Test) son llevadas a cabo por profesionales certificados internacionalmente los cuales se encargan de analizar la red interna, red externa, cajeros ATM´s, red WiFI, POS y aplicaciones móviles de su empresa. Los estandares internacionales utilizados son los siguientes: NIST SP 800-115, PCI y OWASP.

 

Las pruebas de penetración pueden ser automatizadas con aplicaciones de software, o se pueden realizar manualmente. De cualquier manera, el proceso incluye la recopilación de información sobre el objetivo antes de la prueba (reconocimiento), la identificación de posibles puntos de entrada, intentos de entrar (ya sea virtualmente o de manera real) y el reporte de los resultados.

El principal objetivo de las pruebas de penetración consiste en determinar las debilidades de seguridad. Una prueba de penetración también puede ser utilizado para probar el cumplimiento de la política de seguridad de una organización, la conciencia de seguridad de sus empleados y la capacidad de la organización para identificar y responder a los incidentes de seguridad.

El análisis de los mecanismos de protección debe ser una tarea proactiva permitiendo al pentester (persona que lleva adelante el trabajo) encontrar las vulnerabilidades dentro de los mismos y brindar una solución antes de que un ciberdelincuente aproveche esta vulnerabilidad.

 

PCI GAP

Este servicio ofrece a los comercios, a los proveedores de servicios y a los desarrolladores de software de aplicaciones de pago, la oportunidad de analizar el desvío actual en relación con lo requerido por el estándar, recibiendo también las recomendaciones necesarias para remediar la situación.

Nuestra evaluación examina las deficiencias de cumplimiento de PCI DSS de los sistemas que están bajo su control y que almacenan, procesan o transmiten datos de titulares de tarjetas. Nuestro equipo de expertos está compuesto de Evaluadores de Seguridad Calificados (QSA) y Asesores de Seguridad Calificados en Transacciones Pago (PA-QSA), incluyendo Evaluadores de Encripción Punto-a-Punto (P2PE). Este servicio se realiza en conjunto con nuestro socio estratégico 403 Labs División de Sikich, LLP

Para cumplir con el estándar PCI, los comercios y los proveedores de servicios con ambientes en Internet deben efectuar en forma trimestral un escaneo externo de vulnerabilidades. Este servicio provee el reporte de vulnerabilidades conforme a las exigencias del estándar.

 
 

Análisis de riesgo

Un análisis de riesgos permite a las organizaciones disponer de una visión general sobre los elementos que pueden ocasionar una perdida de sus activos de información. Se trata de un estudio sistemático y estructurado que comienza con un examen detallado de los activos de información que posee la empresa, así como los sistemas, procesos y personas que custodian o tratan esos activos de información.

 

La evaluación del riesgo llevada a cabo de manera eficiente y efectiva permitirá que su organización pueda mejorar a la hora de tomar de decisiones sobre la seguridad de la información. Si bien es imposible reducir todos los riesgos asociados a sus sistemas de TI y la información sensible almacenada, procesada y transmitida en ellos; la implantacion de un programa de gestión de riesgo permitirá que los recursos de su empresa pueden proporcionar el mayor nivel de mitigacion del riesgo y ser resilentes ante los mismos.

Si conoces a tu enemigo y te conoces a ti mismo, en cien batallas nunca seras derrotado. SUN TZU.

 

Análisis Forense/PCI PFI

Podemos definir la informática forense como la ciencia de adquirir, preservar, obtener y presentar datos que hayan sido procesados electrónicamente y almacenados en soportes informáticos.

Respondemos con rapidez para proporcionar un equipo de expertos forenses para contener el incumplimiento, salvar los datos, realizar una investigación, para que su organización vuelva a funcionar. Este servicio se realiza en conjunto con nuestro socio estratégico 403 Labs división de Sikich, LLP

Todas las organizaciones y usuarios están expuestos a sufrir intrusiones o comportamientos no deseados en sus sistemas informáticos. Estos acontecimientos deben servir para corregir deficiencias de seguridad, pero la situación se complica cuando se desconoce el foco del problema. Por tanto, identificar el foco del problema mediante el Análisis Informático Forense ayudará a solventar la situación.

 
 

Servicios Business Continuity Planning

El BCP (Business Continuity Planning) se constituye como herramienta clave para garantizar la continuidad en el servicio, siendo una garantía para la recuperación de las operaciones, la información y documentación generada en los sistemas, ante cualquier evento natural o humano que pudiera afectar su actividad.

Los servicios para la implementación completa de un Sistema de Gestión de Continuidad del Negocio (SGCN) alineado con las mejores prácticas internacionales en la materia. El mismo se plantea en 3 FASES diferenciadas a ser llevada a cabo en forma secuencial para completar el Ciclo de Vida de la Continuidad de Negocio en forma efectiva, proporcionándole a la Organización las herramientas y el “know how” para poder mantenerlo por su cuenta, permitiendo así que el mismo se encuentre vigente en el tiempo.

 
 

Security Operations Center (S.O.C)

El SOC está enfocado de manera disciplinada integrando las amenazas ciberneticas inteligentes con operaciones de seguridad, tecnología y respuesta inmediata. Comprende acciones de manera proactiva y defensiva protegiendo los activos de datos y la tecnología crítica.

El Security Operation Center le ofrece:

Aumentar la eficiencia operativa, organizando, coordinando las funciones de la seguridad, flujos de información a gran escala, amenazas inteligentes a traves las operaciones TI y la seguridad cibernética. Optimiza la preparación de la seguridad mediante la prevención y neutralización de ataques inteligentes, con diferentes tacticas previniendo las amenazas cibernéticas con indicadores que aceleran la operatividad del ciclo de vida de la inteligencia de recopilación de datos, análisis, recomendaciones, informes y difusión de productos.
El SOC de Yaakov's Group se carateriza por ser un usuario autorizado CERT, ofrecemos la ventaja de proporcionar un equipo dedicado con supervisión directa que produce rápidamente acciones que anticipan el riesgo, recomendaciones, acciones de mitigación e información de las decisiones ante las amenazas aumentando de manera significativa las operaciones proactivas de seguridad cibernetica.

 
 

Capacitación en seguridad

Nuestra amplia y variada experiencia nos permite ofrecer una amplia gama de capacitaciones de seguridad cibernética y servicios para profesionales y empresas que los prepare para los mayores desafíos de la industria de seguridad. A través del servicio y la excelencia en las soluciones y capacitaciones combinada con una calidad excepcional nos hemos establecido como un Instituto de soluciones y capacitaciones en seguridad cibernética en toda la industria.

 

Yaakov´s Group ha desarrollado un Security Awareness Program en el cual se emplean varios métodos basados en el público objetivo, es decir: Algunos temas tendrán un mayor enfoque y profundidad en los controles técnicos, mientras que otros serán más apropiados para la interacción con el cliente.

Contamos con cursos, materiales y personal capacitado a su disposicion para que su empresa pueda cumplir con los requisitos normativos y de cumplimiento, como PCI e ISO 27000 específicamente para la formación de conciencia de seguridad para el empleado. Entre los cursos mas demandados por nuestros clientes se encuentran: cursos de Ethical Hacking y Análisis Forense.

 

Hardening

La seguridad de un servidor es muy importante para proteger los datos de posibles intrusos. El administrador del sistema es responsable de la seguridad del servidor primero se puede decir que es importante la seguridad física de los sistemas.

 

El Hardening es el fortalecimiento o endurecimiento de un sistema, es el proceso de asegurar un sistema mediante la reducción de vulnerabilidades. Un sistema tiene mayor vulnerabilidad cuando más funciones o servicios brinda.

En muchas organizaciones es muy común que se tengan cambios y migraciones de Firewalls. Tambien cambios en los administradores de los mismos. Yaakov´s Group ofrece su servicio de optimizacion de Firewalls a todas aquellas organizaciones que deseen mejorar el performance, limpiar las politicas y objetos de sus equipos.

Le proporcionamos una guía de buenas prácticas, en las que se resalta la planificación y el diseño del firewall. Estos pasos se aplican tanto si se va a desplegar un único firewall con funciones limitadas y en un único punto o uno con todas sus funciones aplicadas a todos los ámbitos de la empresa.

 

Revisión de código fuente y pruebas OWASP

Las aplicaciones son hoy en día uno de los activos principales de cualquier empresa. Tanto si dan servicio a usuarios finales (por ejemplo aplicaciones de ebanking o ecommerce) como si se trata de aplicaciones corporativas (una intranet), las aplicaciones manejan información cuya confidencialidad, disponibilidad e integridad es fundamental para las empresas.

 

Este servicio consiste en formalizar una suscripción anual de pruebas OWASP y revisión de código en sus aplicaciones, que se integrará en forma colaborativa con el área de desarrollo de la empresa.

Su revisión de código se puede personalizar a su solicitud e incluye típicamente:

  • Validación de entrada
  • Autenticación y autorización
  • Gestión de sesiones
  • Conexiones a bases de datos
  • Los controles de acceso
 

Auditoría PCI DSS

Cualquier organización que participe en el procesamiento, transmisión o almacenamiento de información de tarjetas de crédito queda afectada por el cumplimiento de los requerimientos que establece PCI DSS.

Ofrecemos los servicios de auditoría PCI DSS para complementar y acompañar a su empresa a su certificación PCI DSS. La auditoría PCI DSS se realiza en conjunto con nuestro socio estratégico 403 Labs división de Sikich, LLP

El primer paso para cumplir con los requerimientos de PCI DSS es realizar un análisis de la organización, identificar los puntos en la cadena de valor donde se transmite, procesa o almacena información de tarjetas de crédito y definir el entorno que debe ser protegido para cumplir con PCI DSS. Una vez identificado este entorno se deben evaluar los riesgos y definir el programa de cumplimiento que establece y mantiene las medidas de seguridad necesarias para poder cumplir con los 12 requerimientos definidos en el estándar.

 
 

Servicios ISO 27001

Los Sistemas de Gestión de Seguridad de la Información (SGSI) son el medio más eficaz de minimizar los riesgos, al asegurar que se identifican y valoran los activos y sus riesgos, considerando el impacto para la organización, y se adoptan los controles y procedimientos más eficaces y coherentes con la estrategia de negocio.

Según la norma ISO 27001, una empresa debe identificar todos los requisitos legales aplicables a sus servicios cloud. Realiza una evaluación de riesgos para identificar, analizar y evaluar los riesgos legales relativos a la ubicación de la infraestructura de proveedores de servicios cloud. Información útil se puede encontrar en el sitio de los proveedores y las búsquedas por internet.

ISO 27001 es una norma internacional emitida por la Organización Internacional de Normalización (ISO) y describe cómo gestionar la seguridad de la información en una empresa.

  • GAP Análisis
  • Análisis de Riesgo
  • Implementación
  • Auditoría
 

¿Desea más información sobre éste y otros servicios?

CONTÁCTENOS
Estándares y cumplimientos
Estandar PCI DSS

PCI DSS, en su idioma nativo (Inglés): Payment Card Industry Data Security Standard, significa Estándar de Seguridad de Datos para la Industria de Tarjeta de Pago.

Certificación CERT

“CERT” es una marca registrada propiedad de Carnegie Mellon University. En Yaakovs Group compartimos el compromiso de mejorar la seguridad de las redes conectadas a Internet. Sólo los CSIRTs pueden solicitar la autorización para usar la marca “CERT” en sus nombres.

Estandar ISO 27001:2013

ISO/IEC 27001 es un estándar para la seguridad de la información. Pertenece a la familia de normas ISO27000 y su versión más reciente es la ISO 27001:2013

Estandar ISO/IEC 20000

Una manera de demostrar que los servicios de TI están cumplierndo con las necesidades del negocio es implantar un Sistema de Gestión de Servicios de TI (SGSTI) basados en los requisitos de la norma ISO/IEC 20000.

Estandar ISO/IEC 20000

 

Estandar Protect Patient Information

Proteger los datos de los pacientes y de los hospitales es el principal objetivo de estos estándares. La tecnología es la principal herramienta que ayuda a estos centros de servicios médicos y salud para resguardar de manera adecuada la data de sus pacientes.