Think Outside The Box.

BUHOsec.com - Think Outside The BoxLa explotación de las Nuevas Tecnologías trae consigo, en muchos casos, un considerable incremento de la productividad, en los procesos de negocio y otros beneficios como una mayor agilidad en la prestación de servicios.

Pero todo esto viene acompañado de un gran riesgo: la información es compartida por usuarios de multitud de sistemas y las aplicaciones son igualmente accesibles por todos estos.

Como cualquier desarrollo de software, estas aplicaciones pueden presentar problemas de diseño, errores en el código, errores de configuración o incluso los sistemas sobre los que se despliegan pueden presentar algún fallo de configuración que los hace vulnerables.

Estas vulnerabilidades se pueden llegar a materializar en incidencias de varios tipos:

Pérdida de Disponibilidad: Los sistemas pueden quedar fuera de servicio por un uso indebido o mal intencionado de los mismos.

Pérdida de Confidencialidad: La información de los sistemas, como consecuencia de las vulnerabilidades presentes, puede resultar accesible a usuarios no autorizados.

Pérdida de Integridad: Si el fallo afectase al sistema hasta el punto de permitir a usuarios no autorizados destruir o alterar información.

Estos son los tres pilares fundamentales sobre los que se basa la Seguridad de Sistemas de la Información. En los entornos de tratamiento de la información complejos, en los que prima la 
operatividad del servicio del día a día, labores de administración y control efectivo de la seguridad; a pesar de dedicar esfuerzos a mantener la seguridad del entorno, es aconsejable un servicio externo de asesoramiento en términos de seguridad de la información, en el que poder apoyarse para proteger su activos y fundamentalmente su operativa de negocio.

Nuestra Metodología.

Nuestra Metodología está siempre sujeta al Esquema Nacional de Seguridad (ENS), combinamos metodologías internacionales (OSSTMM, NIST y OWASP) y metodologías propias que hemos adaptado, integrado y probado con éxito.

Todos los procedimientos incluidos en la auditoria de seguridad siguen la metodología de libre distribución "Open Source Security Testing Methodology" (OSSTMM).

OSSTMM es aplicable sobre cualquier tipo de tecnología que requiera mantener una gestión de la seguridad: seguridad física, seguridad inalámbrica, seguridad de comunicaciones, seguridad de la información, seguridad de aplicaciones, seguridad de las tecnologías de Internet y seguridad de procesos. 

OWASP implementa un enfoque de proceso en el que se analizan las entradas y salidas obtenidas por medio de la recolección de los datos involucrados. Obteniendo así una visión exhaustiva de cómo se está realizando el proceso y cuáles son los fallos o vulnerabilidades que puede presentar. 

BUHOsec.com ha desarrollado para las auditorias de seguridad un enfoque basado en un ciclo de mejora constante, el cual ayuda a contemplar la validación y mejora de la seguridad de los procesos de negocio dentro del marco de políticas de seguridad ya aprobadas y los estándares reconocidos. 

Las pruebas deben coincidir con las necesidades de comprobar los controles descritos en las políticas de seguridad, en base a criterios de buenas prácticas para entornos tecnológicos.