Auditoría de seguridad
Test de Penetración
Los recursos públicos de una organización son los más visibles desde el exterior y representan la cara visible de la misma ante clientes y proveedores. Por este mismo motivo son los recursos más expuestos al ataque de intrusos y por tanto los más vulnerables.
El test de penetración diseñado por personal especializado de S2 Grupo pretende simular la actividad de un supuesto atacante que quisiera tomar posiciones en los recursos de la organización. Por ello, el equipo de intrusión realizará, desde ubicaciones externas a las instalaciones del cliente, las pruebas técnicas necesarias para verificar la seguridad de los recursos públicos de la organización. Las subfases de esta etapa son las siguientes:
- Test de visibilidad y seguridad perimetral. El equipo de intrusión de S2 Grupo realizará un inventario de los servicios accesibles públicamente a Internet, con el fin de determinar cuáles serían las principales puertas de entrada que valoraría un intruso a la hora de intentar un ataque contra los recursos corporativos dentro del alcance propuesto. Entre las pruebas a realizar, el equipo de intrusión verificará la correcta implantación de controles de acceso a nivel de red (Firewalls y Routers) con el fin de verificar si un potencial intruso sería capaz de evadir las restricciones impuestas por dichos controles y obtener una visibilidad mayor sobre los recursos corporativos de la que a priori debería ser posible desde Internet o redes externas.
- Test de penetración. Una vez obtenido el inventario de recursos visibles desde el exterior, el equipo de intrusión realizará una auditoría de vulnerabilidades que tendrá como objetivo detectar deficiencias de diseño, implementación o implantación que pudieran permitir a un atacante obtener privilegios de acceso no autorizados, llegando incluso a obtener control total sobre los sistemas atacados.
- Test de propagación. Una vez encontradas y explotadas vulnerabilidades sobre los sistemas visibles desde Internet, el equipo de intrusión de S2 Grupo, en función de las posibilidades que permita la vulnerabilidad explotada, intentará realizar una propagación a otros sistemas o servicios que, si bien no eran accesibles públicamente desde Internet, sí que pasan a serlo tras haber explotado las vulnerabilidades presentes en los sistemas públicos, lo cual permitiría a un intruso acceder a sistemas a priori no expuestos. Este test permite a la organización conocer el grado de riesgo real existente tras cada vulnerabilidad detectada, y por tanto permite planificar la corrección de vulnerabilidades teniendo en cuenta el impacto real que tendría su explotación, no sólo el impacto acotado de la propia máquina que presenta la vulnerabilidad.
Auditoría de Seguridad Lógica
En función del objetivo de protección S2 Grupo diseña auditorías de seguridad centrándose en al ámbito lógico de la protección.
Una auditoría de seguridad lógica se centra en auditar aspectos técnicos de la infraestructura TIC contemplando tanto aspectos de diseño de la arquitectura desde el punto de vista de seguridad, como aspectos relacionados con los mecanismos de protección desplegados para hacer frente a todo tipo de incidentes lógicos.
Una auditoría de seguridad lógica incluye por tanto el trabajo del equipo de ethical hacking de S2 Grupo y desarrolla en su ámbito un test de penetración tanto externo como interno.
S2 Grupo desarrolla este tipo de auditorías en base a lo establecido por entidades como OSSTMM y Sans institute.
Se diseñan por tanto auditorías de seguridad perimetral cuando el TOE (objetivo de evaluación) es el perímetro de la organización. Se diseñan auditorías de caja blanca o de caja negra en función de la visibilidad del equipo de penetración de S2 Grupo, e incluso auditorías de seguridad.
Adaptación a la LOPD
La Ley Orgánica de Protección de Datos tiene como objeto garantizar el cuidado de los datos de carácter personal que las organizaciones necesitan para desarrollar su actividad de las personas que forman los distintos grupos de interés en torno a dicha organización como son: empleados, clientes, proveedores, etc…
Para ello desarrolla tanto a través de la Ley como de su Reglamento una serie de pautas de comportamiento y normas a seguir de obligado cumplimiento para cada uno de los intervinientes en el tratamiento de estos datos.
Los proyectos de adaptación a la LOPD y sus revisiones pertinentes son proyectos que requieren tanto conocimientos técnicos en el ámbito de la seguridad tecnológica como conocimientos jurídicos para determinar qué datos son los que hay que proteger y cómo hay que hacerlo en cada caso.
S2 Grupo, siempre con un equipo mixto técnico-jurídico, ha realizado adaptaciones a la LOPD desde organizaciones de gran tamaño, como puede ser el caso de Consum, como organizaciones de pequeño tamaño, forjando en el seno de la compañía un conocimiento profundo en la materia a través de los años.
Además de la identificación de los datos de carácter personal que las organizaciones tratan, el diseño de políticas de recogida de datos, los formularios de captación de datos, los contratos con terceros que incluyen las cláusulas específicas exigidas por la ley, el establecimiento de normativas corporativas y un largo etcétera, El artículo 9 de la LOPD establece en su punto 1 que:
“el responsable del fichero, y, en su caso, el encargado del tratamiento, deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural”.
El Real Decreto 1720/2007, de 21 de diciembre, aprobó el Reglamento de desarrollo de la LOPD, que determina -entre otros aspectos- las medidas de seguridad de los ficheros que contengan datos de carácter personal, con independencia de cuál sea su sistema de tratamiento. El Reglamento tiene por objeto establecer las medidas de índole técnica y organizativa necesarias para garantizar la seguridad que deben reunir los ficheros, los centros de tratamiento, locales, equipos, sistemas, programas y las personas que intervengan en el tratamiento de los datos de carácter personal.
Entre estas medidas obligatorias se encuentra la elaboración e implantación de la normativa de seguridad mediante un documento de obligado cumplimiento para el personal con acceso a los datos de carácter personal: el documento de seguridad.
Cualquier organización, como responsables de los tratamientos de datos de carácter personal que llevan a cabo sus departamentos, deben definir las medidas de índole técnica y organizativas necesarias para garantizar la protección, confidencialidad, integridad y disponibilidad de los recursos afectados.
Por tanto, entre los trabajos a abordar se encontrará la revisión y, en su caso, propuesta de modificación del Documento de Seguridad de la organización y de los documentos que lo integran, con objeto de garantizar el cumplimiento de los requerimientos documentales del RDLOPD.
Un ejemplo de entregables en un proyecto de adaptación a la LOPD o de revisión del cumplimiento de la misma sería:
- Formularios de declaración de creación, modificación y/o supresión de ficheros ante el Registro General de la AEPD.
- Modelo de contrato con terceros para acceso a datos en la prestación de servicios.
- Modelo de comunicación informativa a terceros del tratamiento de sus datos.
- Modelos de acuerdo de confidencialidad para los diferentes colectivos con los que se colabora.
- Si se considera necesaria su modificación, propuesta de actualización del Documento de Seguridad como responsable del fichero correspondiente a los tratamientos de datos de carácter personal.
- Informe de cumplimiento del RDLOPD.
- Plan de iniciativas dirigido a mejorar el nivel de cumplimiento general de la LOPD y su Reglamento.