El proceso involucra un análisis activo del sistema buscando alguna debilidad, falla técnica, error humano o alguna vulnerabilidad técnica.

 

El análisis se efectúa desde la posición de un atacante potencial y puede incluir una fase de explotación activa de las vulnerabilidades.

 

En muchos casos se utiliza como modelo de amenazas la evaluación sistemática de los denominados "Casos de Abuso" contrario a los "Casos de uso" normales para los que se diseño el sistema.

REVISIÓN DE LOS SIGUIENTES COMPONENTES:

  • Portales WEB de Internet o Internos.
  • Equipos perimetrales de Redes como routers, firewalls e IPS's.
  • Redes Inalambricas,
  • Servidores y sistemas operativos expuestos.
  • Aplicaciones Web y Web Services.
  • Servidores de Negocio (BI, ORACLE, SAP, WebLogic)
  • Bases de Datos.

Es un procedimiento que se ocupa de la restauración de los sistemas después de un incidente no planificado con alto impacto o desastre.

 

Este plan tarta con todo lo relacionado con la parte tecnológica, es decir restaura todos los sistemas de información al estado previo del desastre.

 

  • Destrucción o falla masiva del hardware o software para la administración de los servicios.
  • Destrucción o falla masiva de las fuentes de energía de soporte a la infraestructura de servicios.
  • Fallas en los sistemas de comunicaciones.
  • Otros eventos de similar impacto en la operación.

Es un procedimiento que se ocupa de la restauración de los sistemas después de un incidente no planificado con alto impacto o desastre.

 

Este plan tarta con todo lo relacionado con la parte tecnológica, es decir restaura todos los sistemas de información al estado previo del desastre.

 

  • Vulnerabilidades del tipo Cross Site Scripting XSS
  • Vulnerabilidades del tipo SQL Injection Blind SQL
  • Vulnerabilidades del tipo Command Injection
  • Vulnerabilidades del tipo Buffer Overflow
  • Manejo pobre de errores y ecepciones
  • Detección de Código Muerto
  • Condiciones de Carrera

El servicio de análisis de seguridad de aplicativos evalúa el nivel de riesgo de una aplicación permitiendo identificar y eventualmente eliminar la causa raíz del problema, reduciendo el riesgo asociado al proceso de negocio.

Este análisis debe incluir los objetivos específicos del negocio y objetivos de control de seguridad como parte del mismo, ayudando a que los controles implementados cumplan con los requerimientos de los socios de negocio, empleados, clientes y cuerpos regulatorios.

  • Revisión de Seguridad de Código Estático.
  • Prueba de Hackeo ético de la Aplicación.
  • Revisión del Soporte Operacional del Aplicativo.