"Que no se hayan producido fallos de seguridad en la configuración de los servicios internos de la empresa, no garantiza que estos no existan". Por ello y debido a la importancia que exige evitar cualquier tipo de fuga de información de la empresa, es vital apoyarse en un tercero de confianza, como lo es Informática 64, que verifique el estado de la seguridad informática interna tanto de los servidores y servicios como del puesto cliente, para que de esta forma, se validen las medidas de protección que internamente se deban llevar a cabo y cumplir así con la base de la política de seguridad.
Con ello, se pretenden detectar y mitigar las posibles vulnerabilidades en los diferentes elementos de acceso público, como son, servidores y dispositivos hardware sobre los que se soportan los servicios y aplicaciones accesibles desde los diferentes portales corporativos del cliente en cuestión.
Puesto que el ataque a la información se puede producir, ya sea por un usuario de la empresa, como por un usuario externo a la organización, las pruebas a realizar se enmarcan en las siguientes dos modalidades:
- Caja Negra: Una auditoría de caja negra trata de ver si un sistema es vulnerable mediante técnicas Hacker y sin conocer ninguna información interna del sistema. Dichas evaluaciones no garantizan que un sistema sea seguro ya que puede que el atacante no haya sido capaz de descubrir una debilidad existente en el sistema porque esté oculta tras una medida de protección perimetral.
- Caja Blanca: En este caso se asume la posición de un usuario de nuestros sistemas que se convierte en atacante, bien por que sea el dueño de las credenciales o porque un atacante ha obtenido dichas credenciales de forma ilícita, siempre desde una conexión externa de la compañía. El objetivo principal es detectar vulnerabilidades por escalado de privilegios.
|