Penta Security Solutions cubre de diferentes formas las necesidades de las organizaciones con respecto a Seguridad Informática, Seguridad de la Información y Tecnología de la Información.

SERVICIOS PROFESIONALES

  • Definición de sistemas de gestión de procesos
  • Desarrollo, rediseño, implementación y mejora de procesos
  • Evaluación / Auditoría de procesos (ISO 27.001)
  • Asistencia en la administración de proyectos
  • Tableros de control estratégicos o de procesos
  • Evaluación de la seguridad aplicativa
  • Análisis de riesgo tecnológico
  • Evaluación de cumplimiento de normativas y legislaciones
  • Securización de plataformas
  • Test de intrusión externos e internos (Ethical Hacking)
  • Adecuación a la ley de protección de datos personales
  • Auditorías informáticas
  • Administración de la tecnología en base a los modelos de ITIL V2, V3 y COBIT
  • Planeación estratégica de TI y alineación de negocio
  • Desarrollo e implementación de procesos ITIL
  • Integración de sistemas para la utilización de TI
  • Evaluación de procesos de TI
  • Implementación de metodología de administración de proyectos
  • Soporte al área de TI y SI
  • Plan de continuidad del negocio y plan de recuperación ante desastres
  • Análisis de riesgo
  • Diseño de documentación de controles internos IT y Negocio (COBIT, COSO)
  • Desarrollo de planes de gestión para el ambiente de control
  • Diseño y ejecución de pruebas
  • Diseño e implementación de Active Directory
  • Diseño e implementación de infraestructura de correo electrónico
  • Implementación de firewalls y VPN
  • Implementación de voz sobre IP y telefonía IP
  • Implementación y administración de base de datos
  • Peritaje de accesos no autorizados a servidores privados
  • Captura y preservación de evidencias digitales
  • Peritaje de violaciones de seguridad
  • Análisis forense de videos, imágenes digitales y audio
  • Peritaje de seguridad informática corporativa
  • Peritaje de la infraestructura informática de la empresa
  • Diseño e implementación de programas de concientización
  • Dictado de cursos especializados en seguridad de la información para personal técnico o en general
  • Desarrollo de amplias herramientas de comunicación
  • Simulaciones de ingeniería social y phishing
  • Desarrollo de cursos o capacitaciones online

SEGURIDAD CONTINUA

ACC: Adoption to Cloud Computing

Muchas organizaciones han tomado la decisión estratégica de migrar hacia la nube, con el fin de aprovechar los múltiples beneficios que brinda Cloud Computing, no obstante, no siempre se cuenta con el tiempo y la experiencia para afrontar el nuevo paradigma de una manera eficiente y exitosa.

Un gran desafío que deben enfrentar los líderes de infraestructura es identificar las ofertas más apropiadas de Cloud Computing conforme a las necesidades de la compañía y de los objetivos que defina para sus servicios, para lo cual se requiere la especialización en los distintos ámbitos del nuevo paradigma. Si bien el concepto de nube se asocia con la facilidad y simplificación de la problemática tradicional de la infraestructura, esto será cierto en la medida en que en cada una de las etapas se vayan tomando las decisiones que beneficien a la organización, derribando el mito que la nube son equipos virtuales en servidores potentes.

Modelo de Adopción

Beneficios

Principales problemáticas

  • ¿Qué proveedores podrían brindar servicios de nube alineados con los requerimientos del negocio?
  • ¿Qué limitaciones existen en la migración y cómo puede minimizarse?
  • ¿Cómo presentar el proyecto de migración frente a decisiones no técnicos?
  • ¿Cuál es el mejor modelo de despliegue? Privada | Pública | Híbrida | Comunidad
  • ¿Qué modelos de servicio elegir? IaaS | PaaS | SaaS
  • ¿Qué servicios utilizar de procesamiento, almacenamiento, base de datos, redes, desarrollo, administración, seguridad, análisis, …?
    - Microsoft Azure: Sitios web | Máquinas virtuales | Servicios móviles | Servicios en la nube | Almacenamiento | Servicios de multimedia | ...
    - Amazon: AWS EC2| EC2 Container Service | Elastice Beanstalk | Lambda | ...
    - Office 365
    - G Suite
  • ¿Cuál es su arquitectura óptima?
  • ¿Cómo minimizar la probabilidad de la aparición de costos ocultos (no considerados inicialmente)?
  • ¿Cómo adaptar los procesos operativos de administración y operación al nuevo paradigma?
  • ¿Qué tipo de capacitación requiere el personal interno conforme a su nuevo rol?

Marcos de referencia

ISO/IEC 17788 (Information technology -- Cloud computing -- Overview and vocabulary)


ISO/IEC 17789 (Information technology -- Cloud computing -- Reference architecture)


ISO/IEC 19086-1 (Information technology -- Cloud computing -- Service level agreement (SLA) framework -- Part 1: Overview and concepts)


ISO/IEC 27017 (Information technology -- Security techniques -- Code of practice for information security controls based on ISO/IEC 27002 for cloud services)


ISO/IEC 27018 (Information technology -- Security techniques -- Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors)

INIST Cloud Computing Program

Security Guidance for Critical Areas of Focus in Cloud Computing

Cloud Computing Adoption Framework–a security framework for business clouds


Cloud Computing Adoption Model

PROGRAMA DE AWARENESS

El factor humano sigue siendo hoy en día la principal causa de los incidentes de seguridad que ocurren en las organizaciones y esto sucede especialmente cuando los riesgos de seguridad no son comprendidos por su personal o no se encuentran preparados ante las diferentes amenazas del entorno.

El Programa de Awareness de Penta Security Solutions es una solución integral que contempla la difusión y concientización en materia de seguridad de la información, mediante el empleo de diferentes canales tales como cursos, posters, banners, newsletters, fondos de pantalla, videos e incluso herramientas de evaluación (quiz).

El Programa es entretenido y de fácil implementación, el cual transfiere de manera efectiva las mejores prácticas con respecto a la seguridad de la información, enfatizando en la protección de lo estratégico y confidencial.

Características

  • Fácil de implementar
  • Genera cambios de comportamiento positivos en el personal
  • Contenido comprensible y focalizado en el público
  • Adaptable a los formatos de comunicación de la organización

Beneficios

  • Provisión de sólo la información relevante para el usuario
  • Cambio en el comportamiento del personal logrando mayor protección de la información propia y de la empresa
  • Reducción de incidentes de seguridad de la información
  • Incremento en el compromiso de la notificación de incidentes
  • Mayor participación del personal en la seguridad de la información
  • Cumplimiento de regulaciones, normativas y estándares

Metodología de trabajo

Herramientas de comunicación

Cumplimiento con normativas PCI DSS, SOX, HIPPA, ISO 27.001, Leyes de Privacidad, BCRA.

AUDITORÍA DE SEGURIDAD DE CÓDIGO FUENTE

El ámbito de desarrollo de software tiende a ser un aspecto en la gestión de TI que prioriza la creación de aplicaciones que cumplan sus expectativas desde el lado funcional. Esta situación provoca la llegada tardía de las medidas de seguridad generando la aparición de vulnerabilidades. En este ámbito, está comprobado que la detección temprana de vulnerabilidades reduce significativamente los costos y pérdidas ocasionadas por los incidentes de seguridad.

Este servicio consiste en la utilización de diferentes herramientas automáticas, adecuadamente parametrizadas, junto a un análisis manual que requiere el trabajo cooperativo de profesionales de distintas áreas (desarrollo, arquitectura y seguridad) para el procesamiento de los resultados obtenidos, eliminando los falsos positivos, definiendo la criticidad de cada hallazgo, y proponiendo las mejores alternativas de solución. Permitiendo que durante las diferentes etapas de desarrollo o mantenimiento de aplicaciones, se pueda identificar riesgos y prácticas inseguras a nivel de código fuente.

Auditoría continua

Principales áreas de análisis

  • Autenticación / Autorización
  • Gestión de sesiones
  • Cifrado
  • Validación de datos de entrada
  • Formas de transmisión de información
  • Gestión de errores
  • Ambiente seguro(utilización de memoria, archivos, SQL dinámicos, etc)
  • Auditoría

Características

  • Los análisis sucesivos permiten planificar las modificaciones de manera que no impacte en los plazos de desarrollo
  • Se integra a los tipos de metodologías de desarrollo ágiles
  • Es un proceso continuo, de análisis mensual, a lo largo de 12 meses
  • Complementa la fase de QA
  • Se comprueba la resolución de las vulnerabilidades detectadas y la aparición de nuevas en cada iteración
  • El team de desarrollo incorpora de manera efectiva los conceptos de seguridad
  • Mejora la seguridad de todas las aplicaciones generadas por el mismo team

Variedad de lenguajes

Todas las marcas y logotipos son propiedad de sus respectivos dueños

Hallazgos típicos

  • Posibles desbordamientos de buffer
  • Alteración del flujo de la aplicación (redirección, accesos a zonas no disponibles)
  • Posibles inyecciones de código en cliente y/o servidor
  • Excesos de información en mensajes de error
  • Posibles abusos de funcionalidad
  • Almacenamiento de información sensible en archivos no cifrados(configuración)
  • Vulnerabilidad frente a ataques de ingeniería inversa

ESI: EVALUACIÓN DE SEGURIDAD INDUSTRIAL

La aparición de Internet y su adaptación por parte de las organizaciones han generado grandes beneficios tanto a nivel operativo como estratégico, pero al mismo tiempo han afectado la manera en que se comporta el flujo de la información en la Organización. Si adicionalmente hablamos de empresas con actividades industriales se incrementa su nivel de complejidad afectando la manera en la que se gestiona su seguridad.

Este servicio permite prevenir las fallas de seguridad provenientes de la integración de sistemas industriales en el ámbito corporativo y su exposición en Internet. El mismo consiste en la ejecución de diferentes herramientas de evaluación, cuyos resultados son investigados por nuestros profesionales, certificados en ciberseguridad, permitiendo un análisis exhaustivo y en profundidad de la infraestructura crítica y red industrial, conceptualizado los hallazgos en un informe junto a las acciones de mejora recomendadas. El alcance cubre las zonas 0, 1, 2 y 3 junto a sus conductos.

Alcances de la revisión

  • Equipos SCADA, PLC, RTU, DCS, IEDs, CNC
  • Servidores
  • Sistemas operativos
  • Consolas HMI
  • Estaciones de trabajo de operadores e ingenieros
  • Bases de datos
  • Protocolos de comunicación
  • Dispositivos de campo, telecomunicaciones
  • Infraestructura de red de control

Modalidad

  • Essentials: Trabajo de 1 semana en planta
  • Deep: Trabajo de 3 semanas en planta

Marcos de referencia

Todas las marcas y logotipos son propiedad de sus respectivos dueños

Beneficios

  • Control preventivo sobre la infraestructura crítica
  • Mejora en el entorno de seguridad industrial a través de un control independiente
  • Reduce los costos derivados de incidentes de seguridad
  • Contribuye al cumplimiento de requisitos exigidos por normativas y estándares

Excelente nivel de análisis y detección de:

  • Actividad individual por equipos, nodo
  • Estadísticas y reportes
  • Bytes enviados / recibidos
  • Tramas
  • DNS acciones
  • Consumos
  • Nodos caídos o apagados
  • Broadcast
  • Direcciones IPS / MacAdress
  • Netbios
  • Cargas
  • Errores
  • Conflictos
  • Pérdidas
  • Latencias
  • Diagrama de la red

GESTIÓN CONTINUA DE VULNERABILIDADES
MONITOREO DE SITIOS Y SERVICIOS CON ACCESIBILIDAD PÚBLICA

El alto impacto generado por el hacking de sitios corporativos, o la pérdida de información producida por la explotación de vulnerabilidades de los servicios publicados en Internet, sumado a la creciente profesionalización de los piratas informáticos, requiere la adopción de medidas y controles periódicos de seguridad.

Este servicio combate dicha problemática, el cual consiste en la ejecución de diferentes herramientas de análisis de vulnerabilidades, cuyos resultados son investigados por nuestros profesionales, expertos en técnicas de hacking ético, integrando, depurando y conceptualizado los hallazgos en informes mensuales junto a las acciones de mejora recomendadas. Sumando la ventaja de un portal personalizado de gestión de vulnerabilidades, con alertas, planes de acción y responsables que permite asegurar la remediación de los hallazgos.

Características

  • Orientado a sitios y servicios corporativos publicados en Internet
  • Sólo se necesita contar con las direcciones IP públicas y URLS corporativas
  • Uso de diferentes herramientas de análisis de vulnerabilidades
  • Complemento con scripts desarrollado por nuestros profesionales
  • Análisis totalmente inocuo
  • Resultados documentados en informes técnicos y resúmenes ejecutivos
  • Reportes mensuales
  • Gestión de plan de acción evolutivo: indicadores con la evolución de hallazgos y correcciones

Comercialización

  • Contrato por 12 meses
  • Valor fijo mensual por paquete de 10 direcciones IPs
  • Bonificaciones especiales por más de 50 IPs

Marcos de referencia

Todas las marcas y logotipos son propiedad de sus respectivos dueños

Servicios complementarios

  • Consultoría para la identificación de la causa raíz de los hallazgos
  • Ingeniería social
  • Monitoreo para la identificación de nuevos servicios o sitios publicados sin autorización corporativa
  • Pen-Test / Ethical Hacking
  • Auditoría de cumplimiento de estándares y normativas para sitios web (W3C, WCAG A, AA y AAA)

Beneficios

  • Control preventivo sobre los sitios y servicios corporativos publicados
  • Mejora en el entorno de seguridad a través de un control independiente
  • Excelente herramienta para la planificación y justificación de la inversión en seguridad
  • Reduce los costos derivados de incidentes de seguridad
  • Contribuye al cumplimiento de requisitos exigidos por normativas y estándares
  • Facilita el análisis evolutivo de la seguridad perimetral
  • Permite contar con informes técnicos y ejecutivos mensuales

VIGILANCIA DIGITAL. MONITOREO DE FUENTES ABIERTAS

El alto impacto generado por las redes sociales y el poder de expresión individual en Internet a generado efectos negativos en las corporaciones. En muchos casos estas situaciones no fueron identificadas de forma oportuna provocando contingencias mayores a la hora de mejorar la reputación e imagen corporativa.

Este servicio permite la prevención y detección temprana de situaciones negativas, que consiste en el monitoreo de fuentes abiertas publicadas tanto en la Internet navegable como en la Deep Web, para la identificación temprana de posibles acciones negativas o fuga de información, que puedan afectar al mundo corporativo (empresas y marcas del grupo), facilitando el proceso de toma de decisiones frente a escenarios adversos que se presenten en el ciberespacio.

Características

  • Cubre tanto Internet navegable como la Deep Web
  • Sólo se requiere conocer las empresas y marcas pertenecientes al grupo corporativo
  • Se emplean diferentes herramientas de búsquedas en Internet, que incorporan inteligencia artificial
  • Los análisis se encuentran orientados a idiomas occidentales, principalmente español, inglés, portugués, francés e italiano
  • El servicio no tiene impacto alguno en los servicios prestados por la compañía y se desarrolla en forma silenciosa
  • Los resultados se documentan en informes mensuales junto con sugerencias de acciones preventivas a realizar

Detecciones

  • Credenciales corporativas que se encuentren publicadas, producto de robos o errores de los usuarios
  • Intentos de suplantación de identidad de las distingas marcas corporativas
  • Registros de dominios similares (orientados a phishing y otras técnicas de engaño)
  • Sentimientos negativos contra las empresas del grupo
  • Organización/convocatoria para la realización de ataques, sabotajes u otras actividades maliciosas

Beneficios

  • Facilita la anticipación a posibles ataques o actividades fraudulentas
  • Constituye una excelente herramienta para la planificación y justificación de la inversión en seguridad
  • Reduce los costos derivados de incidentes de seguridad
  • Optimiza los procesos legales derivados de los ilícitos identificados
  • Mejora la definición de las campañas de concientización en seguridad de la información
  • Contribuye al cumplimiento de requisitos exigidos por normativas y estándares

Productos del servicio

  • Resumen de hallazgos, criticidades y niveles de impacto
  • Información orientada al área Legal para el inicio de denuncias y tratamiento de los delitos identificados
  • Panel de control con indicadores que resumen el escenario observado y niveles de criticidad

Comercialización

  • Contrato por 12 meses
  • Valor fijo mensual por marca
  • Bonificaciones especiales por más de 5 marcas
Top