Auditoría de Seguridad Informática de Web y Apps | BCNSoluciona
Si tienes dudas o prefieres que te expliquemos qué podemos hacer por ti, podemos llamarte sin compromiso. Queremos entender qué te está preocupando y qué puntos de seguridad informática puedes mejorar para evitar fugas de información, ataques, suplantación de identidad…
¿Qué es una auditoría de seguridad Informática?
Una auditoría de seguridad informática consiste en la realización de unas pruebas técnicas sobre el sistema o dispositivo a auditar.
Estas pruebas sirven para detectar las vulnerabilidades de los sistemas o de los dispositivos o los fallos de configuración que podrían facilitar a una atacante tomar el control del sistema o dispositivo, llevarse la información existente o anular el sistema o dispositivo para el uso.
Existen varios tipos de seguridad según lo que se audite, auditoría de seguridad de sistemas o infraestructura, también llamada pentest (test de intrusión) , auditoría de seguridad web y auditoría de seguridad de APP o aplicaciones, a continuación, detallamos la auditoría de seguridad web y la de App.
¿Qué es una auditoría de seguridad web?
Una auditoría de seguridad web, es hacer análisis la seguridad de la web utilizando las herramientas que podría utilizar un atacante y un análisis manual, para encontrar todas las vulnerabilidades en el código de la web, de los sistemas que las soportan y errores en la configuración de los sistemas. Por tanto, también se realiza una auditoría de seguridad de los sistemas que las soportan, se audita también que las conexiones sean seguras.
La auditoría de seguridad web, nos permite encontrar esos fallos de seguridad informática o vulnerabilidades para evitar que los atacantes aprovechen esos fallos de seguridad informática y nos puedan atacar la web, pudiendo tomar el control de nuestra web y hacer lo que quieran, robarnos la información que tengamos o simplemente hacerla inaccesible.
¿Qué es una auditoría de seguridad de APP’s o aplicaciones?
Una auditoría de seguridad App (aplicaciones móviles) o aplicaciones clásicas Es hacer análisis manual de la seguridad de la aplicación o App acompañado de las herramientas que podría utilizar un hacker, para encontrar todas las vulnerabilidades en el código de la App, también de los sistemas que la soportan y errores en la configuración de los sistemas. Por tanto, también se realiza una auditoría de seguridad de los sistemas en las que están las aplicaciones, se audita también que las conexiones sean seguras.
La auditoría de seguridad de App o aplicaciones nos permite encontrar esos fallos de seguridad informática o vulnerabilidades para evitar que los atacantes aprovechen esos fallos de seguridad informática y nos puedan hackear la App o aplicación, pudiendo tomar el control hacer lo que quieran, robarnos la información que tengamos, añadir información falsa o suplantarla.
¿Para qué hacer una auditoría de seguridad web o App?
- Hoy en día, después de la aplicación del Reglamento General de Protección de Datos, RGPD (GDPR en inglés) es obligatorio realizar la auditoría seguridad web o App, dado que puede haber datos personales en esos sistemas.
- Evitar ataques a la web, con el impacto que puede generar en su negocio, como la indisponibilidad de la web, modificación de los datos del carrito de compra….
- Evitar la pérdida de datos.
- Conocer el estado de la seguridad de su App y aplicación
- Para evitar daños reputacionales, perdida de la confianza de los clientes o perderlos directamente.
¿Por qué con BCNSoluciona?
BCNSoluciona se ha especializado en hacer auditorías de seguridad informática, ya sean auditorías de seguridad web o APP o auditorías de seguridad de sistemas informáticos, con profesionales certificados en las certificaciones más importantes del sector y con la vocación por realizar esas tareas como si fuera un hacker, pero ético.
BCNSoluciona ofrece diferentes paquetes de auditorías de seguridad, aunque se puede personalizar la auditoría de seguridad porque cada cliente es diferente, a continuación, detallamos los servicios que prestamos y que se pueden personalizar o elegir un paquete.
¿Cómo realizamos en BCNSoluciona la auditoría de seguridad web?
Una auditoría de seguridad web se basa en encontrar las vulnerabilidades, para ello hacemos un análisis previo manual de la web y definimos el alcance de la auditoría, después se entra en la auditoría profunda de la web, aplicando la metodología OWASP se realizan un conjunto de pruebas, estas pruebas pueden ser manuales o usando herramientas, se revisan los productos con los que pueda estar hecha la web y los sistemas que la soportan comprobando las versiones y sus vulnerabilidades y si se requiere , se explotan todas las vulnerabilidades para saber hasta dónde podría llegar un atacante.
¿Cómo realizamos en BCNSoluciona la auditoría de seguridad App (móvil) o aplicación?
Una auditoría de seguridad se basa en encontrar las vulnerabilidades, para ello hacemos un análisis previo manual de la App o aplicación para definir el alcance de la auditoría, después se entra en la auditoría profunda de la App, aplicando la metodología OWASP para aplicaciones móviles y en parte para las aplicaciones clásicas, se realizan un conjunto de pruebas, estas pruebas pueden ser manuales o usando herramientas, dependiendo del alcance, se pueden hacer ataques de fuerza bruta para el usuario y contraseña o se pueden esnifar las conexiones entre la App y el server, y si es posible modificar esa información para suplantar identidades por ejemplo o tener acceso al servidor en el que la aplicación deja todos los datos.
Soluciones
|
LITE SECURITY PACKAGE:
|
|
A partir de 850 euros |
BUSINESS SECURITY PACKAGE: |
|
A partir de 1350 € |
|
ENTERPRISE SECURITY PACKAGE:
|
|
Consultar |
Solución
Nuestras pruebas de pentest que realizamos cumplen todos los estándares de Owasp.
 |
|
a partir de 1100€ |
Recurrencia
Cualquier solución podrá tener recurrencia, ya sea diaria, semanal, mensual, trimestral o semestral, dado que depende de la criticidad de la aplicación o APP, las auditorías de seguridad deberían ser periódicas
Metodología auditoría web y de aplicaciones
Todos los servicios se basan en el standard y en la metodología de OWASP, https://www.owasp.org, que es una organización sin ánimo de lucro, que se dedica a impulsar la visibilidad y evolución de la seguridad y la protección de las aplicaciones en el mundo.
Top ten de los riesgos más críticos de aplicaciones web
- A1-Inyección
- A2- Pérdida de autenticación y gestión de sesiones
- A3- Cross-Site Scripting (XSS)
- A4- Referencias directas inseguras a objetos
- A5- Configuración de seguridad incorrecta
- A6- Exposición de datos sensibles
- A7- Ausencia de control de acceso a funciones
- A8- Falsificación de Peticiones en Dominios Cruzados o Cross-site Request Forgery (CSRF).
- A9- Utilización de componentes con vulnerabilidades conocidas
- A10- Redirecciones y reenvíos no validados.
Top ten de los riesgos más críticos de aplicaciones móviles
- M1 – Incorrecto uso de la plataforma.
- M2- Almacenamiento de ficheros de forma insegura
- M3- Autenticación insegura
- M4- Protocolos de cifrado inseguros
- M5- Comunicaciones inseguras
- M6- Autorización insegura
- M7- Calidad del código de cliente
- M8- Manipulación de código
- M9- Ingeniería inversa (Reversing)
- M10- Funciones inseguras.
Descripción de los servicios:
RECONOCIMIENTO DE ALCANCE
En esta fase se define el objetivo de la auditoría, hasta donde llegará la auditoría y que analizará, definiendo el análisis necesario para llegar a él.
ESCANEO DE VULNERABILIDADES:
Se trata de un servicio basado en herramientas automáticas de escaneo de vulnerabilidades interno de la organización, mediante herramientas que escanean la infraestructura (Nessus, FoundStone, etc, que genera tickets, informes, estadísticas y que realiza la supervisión completa del ciclo de vida de una vulnerabilidad).
ANÁLISIS DE VULNERABILIDADES
Se realiza un análisis automático adaptado al objetivo, en el escenario definido, para detectar vulnerabilidades y se estudia el impacto que pueden tener según el objetivo definido en el alcance del estudio y la viabilidad de que esas vulnerabilidades sean explotadas por un atacante, cuando el análisis es manual, un especialista analiza vulnerabilidad por vulnerabilidad des de el punto de vista de negocio con pruebas manuales si fuera necesario en la lógica de la web.
EXPLOTACIÓN DE LAS VULNERABILIDADES
Una vez encontradas las vulnerabilidades, se explotan en el escenario según el objetivo definido, como podría hacer un atacante, para determinar alcance e impacto.
REVISIÓN DE RESULTADOS
Un analista de seguridad, revisa los resultados ofrecidos por la herramienta, descartando los falsos positivos que puedan encontrarse.
INFORME TÉCNICO DE RESULTADOS.
Se realiza un informe en el que se muestran las vulnerabilidades encontradas, una vez eliminado los falsos positivos
RECOLECCIÓN DE EVIDENCIAS
En esta fase se recopila la información en la que se evidencia las vulnerabilidades encontradas y explotadas en las diferentes pruebas realizadas durante la fase de explotación de las vulnerabilidades
INFORMES DE REMEDIACIÓN
Se realiza un informe técnico en el que se sugieren diferentes opciones a realizar para solucionar las vulnerabilidades encontradas.
INFORME EJECUTIVO
En este informe se explica a alto nivel las vulnerabilidades encontradas, su viabilidad y el impacto que podrían tener en el caso de ser explotadas por un atacante.
SUSCRIPCIÓN RSS SEGURIDAD
En este canal de suscripción de seguridad, se enviará a las personas dadas de alta, noticias del ámbito de la seguridad, como pueden ser vulnerabilidades encontradas, actualizaciones de seguridad de productos, etc…