Este documento presenta la empresa Pentest Consultores, una compañía especializada en auditorías de seguridad, tests de intrusión y formación en seguridad. Pentest se fundó en 2003 y cuenta con un equipo de expertos cualificados. Ofrece una variedad de servicios como auditorías de seguridad, tests de intrusión, formación para empresas y particulares, y certificación de servidores. Pentest se centra en la contratación y gestión de talento para ofrecer servicios de alta calidad a clientes de diversos sectores como banca, telecomunicaciones y
2. ¿Quienes somos?
Pentest Consultores nace en el año 2003 como
una empresa de nicho altamente especializada
en la realización de auditorías de seguridad,
Método en P enTest:
tests de intrusión y formación de seguridad.
“Analizar y mejorar la
seguridad informática, Para ello, Pentest cuenta en su haber con
SIN afectar la continuidad una plantilla fidelizada de colaboradores formada
de negocio.” a lo largo de muchos años que nos permite
seleccionar los mejores profesionales para cada
servicio concreto.
Clientes A lo largo de los años, Pentest ha reclutado a
Las referencias de PenTest muchos expertos con los que se han formado
equipos de trabajo para cubrir necesidades muy
son de la más alta calidad.
específicas de los clientes más exigentes de
nuestro país.
Nuestros clientes son uno .
de nuestros mejores En Pentest hemos creído firmemente desde siempre, que el mayor esfuerzo e
inversión en una compañía de consultoría debe hacerse, no en infraestructuras, sino
avales y le garantizan un
en capital humano. Por eso el 100% de los costes de contratación de servicios de
servicio plenamente Pentest se emplea en la captación y gestión de talento y la adecuada ejecución del
satisfactorio y sin ningún Servicio.
tipo de riesgo.
Pentest Consultores somos los gestores de todo S E R V I C I O S D E S TA C A D O S
• Financiero y banca ese talento que pasa a través nuestro y que de manera Auditorías de Seguridad
• Telefonía orquestrada nos ha permitido ofrecer servicios al sector
Tests de Intrusión
• Adm. Pública financiero, cuerpos del orden, defensa, inteligencia,
Formación a empresas
aseguradoras, multinacionales, sector aeroespacial,
• Alimentación Formación a particulares
centros de investigación, entornos académicos, etc
• Construcción Certificación de servidores
• Energético
• Aseguradoras
• Investigación
• Etc.
Datos de contacto
Web: www.pentest.es
E-mail: Info@pentest.es
Dirección: C/ Medas 4-6, 08023 Barcelona
Teléfono:
3. es
Information Technology Solutions
Tests de Intrusión
El test de intrusión es el servicio "estrella" de PENTEST®. "PENTEST" es el acrónimo
anglosajón de "Penetration Testing".
Los Tests de Intrusión son nuestra especialidad, nuestra línea principal de negocio.
Pocas empresas en Europa han alcanzado un nivel tan exquisito y profesional en esta
disciplina. Gobierno, ministerios, banca, aseguradoras y entidades financieras que
operan con activos de información críticos solicitan habitualmente nuestros servicios.
Servicios
Descripción del servicio:
En los tests de intrusión se persiguen fundamentalmente los siguientes objetivos:
• Enumerar y aprovechar, con el máximo grado de fiabilidad posible, todas las
debilidades de los sistemas analizados:
- Detección de vulnerabilidades conocidas (problemas de seguridad
reportados y reconocidos por los fabricantes de software, sistemas
operativos o hardware)
• Filtrar, en la medida de lo posible, los falsos positivos en los problemas de
seguridad más relevantes que se hayan detectado.
• Determinar la viabilidad de un ataque de aquellos fallos que no se puedan
aprovechar directamente:
- Disponibilidad o no de exploits públicos
- Dificultad en la ejecución de los ataques
- Tiempo estimado en la realización de dichos ataques, etc.
- Localizar errores de configuración de sistemas o aplicaciones, detectables
remotamente, que facilitan la acción intrusiva de un atacante.
- Identificar vulnerabilidades desconocidas hasta el momento (o no reportadas
públicamente) mediante el análisis manual de los sistemas del cliente. En
caso de descubrirse algún nuevo bug, el cliente es notificado inmediatamente,
antes incluso que el propio fabricante (se avisa al fabricante bajo autorización
expresa del cliente)
- Realizar un informe claro, detallado y lo más práctico posible.
• Presentar el estado de la seguridad de los sistemas auditados desde el punto
de vista de un atacante externo
- Se entregará un completo análisis de todos los posibles problemas
detectados (centrándose principalmente en aquellos puntos críticos que
pueden ser fácilmente corregidos por el propio cliente)
• En caso de ser necesario: realización de una serie de propuestas adicionales
sobre mejoras en las actuales medidas de seguridad.
4. Auditorías
¿ Qué nos diferencia?
PenTest basa su éxito en Cuando hablamos de Auditorías de
la recluta para cada tipo de Seguridad Informática, generalmente nos
proyecto de los mejores referimos a un tipo de actuaciones donde
"Pen-Testers" existentes ya hay un acceso a la red interna del
en la problemática a cliente, ya que hablar de "intrusión" cuando
auditar. se está "dentro" de la red del cliente, puede
ser algo confuso...
Una vez seleccionados,
forma un equipo de
auditores o "Tiger Team"
que pone al servicio del
cliente.
Este tipo de análisis se realiza de dos modos:
Los "Tiger Team" de
"PENTEST" no solo son Desde el puesto de un usuario de la red corporativa y utilizando únicamente aquellas
los mejores, sino también herramientas que estén disponibles para dicho usuario, es decir, desde su entorno de
los más motivados pues trabajo habitual.
trabajan a partir de la
propia libertad de sus La finalidad de este test es evaluar el nivel de hardening de las estaciones de trabajo, y
conocimientos y normalmente el auditor intentará hacerse con el control del equipo (privilegios
experiencia y de la que administrativos) o bien tratará de usar el equipo como plataforma para realizar
concede Pentest para el actividades no autorizadas.
desarrollo de su función
profesional. Desde distintos puntos estratégicos de la red interna y con un portátil especialmente
equipado. En este caso, la finalidad del test es evaluar la seguridad interna de la red
corporativa: segmentación física y lógica, permeabilidad de los cortafuegos, efectividad
Nuestra filosofía de IDS's de red, cifrado de las comunicaciones, resistencia a una D.o.S., resistencia a
fuga de información, etc.
- Dedicación absoluta
Las auditoría tienen un carácter más formal. El objetivo no suele ser tanto conseguir
- Máxima calidad una intrusión en un sistema concreto, sino enumerar fallos de diseño de arquitectura de
red, fallos en las ACL's de los cortafuegos, fallos en las políticas de seguridad, etc, de
- Experiéncia real Servicios internos no visibles desde Internet, etc.
- Efectividad
- Metodología basada en
OSSTMM e ISSAF
5. Servicio de localización de Intrusos
El objetivo del Servicio de Localización de Intrusos es identificar de modo real a los
responsables de un acceso no autorizado o abuso de un sistema informático.
Para dicho cometido, Pentest emplea una metodología* que le permite, en la mayoría
de casos, localizar al atacante y obtener información exacta sobre su identidad.
*Pentest tiene acuerdos con agencias de detectives privados, empresas de seguridad
personal y expertos en seguridad física provenientes de cuerpos del orden público y
del sector privado con presencia en toda la geografía española.
El servicio de localización de intrusos se ofrece bajo unas condiciones de inigualable
rentabilidad: solo se factura el servicio si se consiguen los objetivos acordados con el
cliente.
El S.L.I. únicamente tiene un ámbito de aplicación nacional.
Pentest no tiene autoridad legal en ningún momento para suplantar la actuación de los
cuerpos del orden público. La actuación de Pentest se limita a facilitarle la información
necesaria sobre la identidad de los atacantes.
Diseño de Arquitecturas de Red Seguras
Usted desea trabajar en un entorno seguro y fiable...
... y en Pentest podemos proporcionárselo.
Un lugar en el cual poder de desarrollar su actividad sin tener que preocuparse por los
peligros que afectan hoy en día a los sistemas informáticos: pérdida de información
por virus, desastres naturales, intrusos, espionaje industrial, etc.
Podemos diseñar una arquitectura de red completamente nueva, en cuyo caso
obtendrá el beneficio de un trabajo a medida de sus necesidades y aspiraciones, por
altas que estas sean, o podemos adaptar su actual topología de manera transparente.
El proceso de rediseño de una red corporativa en producción sigue una metodología
de probada eficacia en todos nuestros clientes.
Déjenos ofrecerle soluciones prácticas y efectivas que se integrarán perfectamente en
su entorno sin que pueda si quiera percibir que se está llevando a cabo actuación
alguna, sin interrumpir lo mas importante: la continuidad de su negocio.
6. Certificación de Servidores
Bienvenido al futuro de la seguridad telemática!
Si, bienvenido a la seguridad garantizada. Garantía que le ofrecemos por escrito, y
que le proporcionará la tranquilidad de que su información, su imagen y en definitiva,
la credibilidad de su negocio no corre peligro alguno, de lo contrario, le devolvemos su
dinero.
La Certificación de Servidores de Pentest introduce un concepto nuevo en el sector
de la consultoría: la garantía, pero que sin embargo ha existido desde siempre en la
mayoría de operaciones comerciales y de prestación de servicios. Porque, ¿Adquiriría
usted un producto de consumo si este no viniera acompañado de garantía?
¿Cómo podemos ofrecer este servicio?
Pentest ha diseñado una serie de soluciones para entornos de "alto riesgo". Nuestros
servidores certificados, basados en PITBULL, de ARGUS SYSTEMS, están pensados
para soportar ataques de todo tipo y utilizan las últimas tecnologías en materia de
protección para conseguir un nivel de seguridad "B1" (certificación ITSEC F/E3 B1
"Labeled Security Protection" y con funcionalidad del nivel B2) según el "Trusted
Computer System Evaluation Criteria"del Departamento de Defensa de los EEUU.
Actualmente PITBULL está certificado por la Agencia de Seguridad Americana con la
calificación EAL5.
Los servidores certificados de Pentest están pensados para ofrecer los mismos
servicios que cualquier otro sistema corporativo actual (HTTP, SMTP, POP3,
BBDD, etc.) pero con una robustez inigualable. Una vez estudiadas las
necesidades del cliente, nuestro equipo trabajará para diseñar su servidor a medida y
lo integrará en su entorno corporativo.
Si a partir de entonces, y durante el plazo de validez de la garantía, el sistema sufriera
alguna incidencia producida por un ataque externo, Pentest le reintegraría el importe
del Servicio contratado más la indemnización concertada.
De esta manera, una vez adoptada nuestra solución, no tendrá que volver a
preocuparse de nada relacionado con la seguridad de su información.
*Nota1: Pentest es la única empresa de España y una de las pocas del mundo que
ofrece un servicio con estas características: garantía fehaciente de seguridad ante
intruso.
*Nota2: PITBULL puede adquirirse independientemente a la contratación del servicio
de certificación de servidores. Actualmente Pentest es el único Channel Partner
autorizado en España y la única empresa que posee ingenieros certificados para
operar y dar soporte de este producto.
7. Formación a medida
Detección de Intrusos
*Curso de temario propio (solicitar temario)
Lugar: En nuestras dependencias o en las del cliente según se prefiera.
Duración: a medida
Prerrequisitos: nociones generales de sistemas operativos.
Para qué prepara:
• Gestión de incidencias, análisis de intrusiones en sistemas de la información.
• Gestión de dispositivos de detección de intrusos, comparativa de tecnologías
existentes en el mercado.
• Prevención de intrusiones (IPS).
• Detección de intrusiones a nivel de red y a nivel de host.
• Análisis de logs y evidencias digitales.
• Snort.
Dirigido a:
Administradores/responsables de sistemas que deseen ampliar sus conocimientos de
seguridad.
Seguridad Perimetral
*Curso de temario propio (solicitar temario)
Lugar: En nuestras dependencias o en las del cliente según se prefiera.
Duración: a medida
Prerrequisitos: Nociones generales de redes LAN y WAN.
Para qué prepara:
• Uso de elementos de protección del perímetro de una red.
• Identificación y despliegue de las distintas tecnologías existentes en materia
de seguridad perimetral (cortafuegos, proxies, pasarelas antivirus, IDS's de
red, gestores de ancho de banda, balanceadores carga, etc.)
Dirigido a:
Administradores/responsables de sistemas que deseen iniciarse en la seguridad
perimetral.
8. Pentest
*Curso de temario propio (solicitar temario)
Lugar: En nuestras dependencias o en las del cliente según se prefiera.
Duración: a medida
Prerrequisitos: Conocimientos generales de redes, Linux/*nix y Windows.
Para qué prepara:
• Uso de las últimas herramientas de análisis de vulnerabilidades, escáneres de
vulnerabilidades, identificación de problemas de seguridad, interpretación de
informes, identificación de falsos positivos.
• Recursos del "Pen-Tester". Organización de un Tiger Team.
• Preparación para la evaluación de proveedores de servicios de auditoría
telemática.
• Análisis manual de vulnerabilidades en sistemas informáticos; realización de
un Test de Intrusión; explotación de fallos. Iniciación al desarrollo de exploits.
• Técnicas avanzadas y específicamente orientadas a conseguir acceso a los
sistemas de información.
Este curso está diseñado para concentrar en pocos días, los trucos y técnicas más
eficaces que pueden utilizarse para evaluar la seguridad de los sistemas corporativos.
Se aprenderán las mismas técnicas que utilizan los intrusos y más aun, aquellas que
solo los mejores Pen- Testers conocen, las que llevan a la consecución de objetivos
en los plazos usuales de ejecución de un Test de Intrusión
(http://seguridad.internautas.org/html/1/618.html).
Dirigido a:
Administradores/responsables de sistemas que deseen ampliar sus conocimientos de
seguridad telemática.
Auditores/consultores de nuevas tecnologías que necesiten iniciarse en técnicas de
"hacking ético".
Gestores de seguridad que deseen obtener unos conocimientos de base sobre la
metodología, recursos humanos, recursos técnicos implicados en el proceso de un
Test de Intrusión.
Profesionales que deseen conocer de primera mano, sin tabús y sin ningún tipo de
censura, las técnicas más actuales y eficaces de hacking de sistemas informáticos.
9. Hardening de sistemas
*Curso de temario propio (solicitar temario)
Lugar: En nuestras dependencias o en las del cliente según se prefiera.
Duración: a medida
Prerrequisitos: Nociones generales de sistemas operativos (Linux/*NIX, Windows).
Para qué prepara:
• Identificación de las últimas tendencias en la fortificación de sistemas
operativos. Despliegue seguro de servicios públicos (servidores web, correo,
etc.).
• Configuración de servidores "bastión".
• Diseño propietario de sistemas de contención de ataques informáticos.
Dirigido a:
Administradores/responsables de sistemas que deseen ampliar sus conocimientos de
seguridad telemática.
Auditores/consultores de nuevas tecnologías que necesiten profundizar en técnicas de
hardening.
Profesionales que busquen un impulso en su carrera mediante formación altamente
especializada, etc.
10. Check Point NGX
*Curso de temario propio (solicitar temario)
Curso basado en temario oficial + know-how propietario
Lugar: En nuestras dependencias o en las del cliente según se prefiera.
Duración: a medida
Prerrequisitos: Conocimientos generales de redes
Para qué prepara:
-Manent I (CCSA NGX):
• Temario oficial: "Backup and restore, monitoring tools, object creation,
rulebase construction, VPNs, NAT, VOIP, Authentication (including LDAP),
User management".Temario propio: Métodos de backup "one-shot" para
entornos críticos, métodos de backup cruzados, estudio de errores típicos de
configuración, estudio de métodos de by-pass del FW-1 y contramedidas.
Management II (CCSE NGX):
• Temario oficial: "Installation, upgrade/export, advanced VPNs including
dynamic VPN routing, management HA, firewall monitoring"
• Temario propio: Uso avanzado de Smart Defense, usos alternativos de Client
Auth, Integración transparente de Client Auth con la Intranet Corporativa,
optimización de las reglas del cortafuegos en entornos complejos (300 o más
reglas) en función del tráfico (mediante herramientas externas).
Dirigido a:
El curso está dirigido a profesionales que deseen administrar un Firewall-1 NGX, o
que siendo ya administradores de un cortafuegos de este tipo quieran conocer a fondo
todas las posibilidades que ofrece el producto.
Los instructores de PENTEST tienen experiencia real en la implantación, soporte
técnico, "Hot Line" y formación de este producto desde su versión 4.0 (1999). Además
cuentan en su haber con experiencia en instalaciones en todo tipo de entornos
(Solaris, Aix, Windows), así como sus versiones "Secure Platform" (Linux), y
appliances de Nokia (IPSO), y han sido certificados en la sede central de Check Point
(Tel Aviv, Israel).
Los cursos contienen una gran parte de temario propio (fruto de nuestra experiencia)
que se añade al temario oficial, y que provee al alumno de gran cantidad de "trucos"
completamente inéditos.
11. Check Point NGX
*Curso de temario propio (solicitar temario)
Lugar: en nuestras dependencias o en las del cliente según se prefiera.
Duración: a medida
Prerrequisitos: nociones generales de sistemas operativos.
Para qué prepara:
• Políticas de seguridad (Contraseñas. Login. Control de recursos del sistema.
Perfiles. Seguridad física. Gestión de administradores).
• Hardening (Ficheros peligrosos, avisos legales, X11, GUI, Cuentas, Servicios,
FTP, autenticación, IPSec, securización de las comunicaciones,"Port
Knocking"...).
• Integridad de Datos y Sistemas. (Subsistema de Auditoría. TCP Wrapper.
PortSentry. Tripwire. Maintenance Level. Crontabs.
• Gestión de parches de seguridad. Sistema de Logs.
Dirigido a:
Administradores/responsables de sistemas que deseen ampliar sus conocimientos de
seguridad en entornos AIX.
Auditores/consultores de nuevas tecnologías que necesiten profundizar en técnicas de
hardening de AIX.
Profesionales que deseen conocer las posibilidades de AIX 6.
12. Seguridad en Línux
*Curso de temario propio (solicitar temario)
Lugar: en nuestras dependencias o en las del cliente según se prefiera.
Duración: a medida
Prerrequisitos: nociones generales de Linux.
Para qué prepara:
• Instalación y administración segura de entornos Linux.
• Gestión de Usuarios, permisos, ficheros, y recursos del sistema. Despliegue
seguro de servicios públicos (chroot, entornos virtuales). Sistemas de
prevención de intrusiones (IPS).
• Hardening de Linux. GRSEC.
• Gestión de sistemas de autenticación seguros OTP (One-Time-Password).
PAM. Gestión de parches. Backups.
• Sistemas de contingencia.
Dirigido a:
Administradores/responsables de sistemas que deseen ampliar sus conocimientos de
seguridad en entornos Linux.
Auditores/consulores de nuevas tecnologías que necesiten profundizar en técnicas de
hardening de Linux.
Administradores/responsables de sistemas que deseen ampliar sus conocimientos de
seguridad.
13. v
Seguridad en Windows
*Curso de temario propio (solicitar temario)
Lugar: en nuestras dependencias o en las del cliente según se prefiera.
Duración: a medida
Para qué prepara:
• Instalación y administración segura de entornos Windows. Gestión de
Usuarios, permisos, ficheros, y recursos del sistema.
• Despliegue seguro de servicios públicos (IIS, Exchange,...). Políticas de
seguridad. GPO.
• Sistemas de prevención de intrusiones (IPS). Hardening de Windows.
• Gestión de parches.
• Backups. Sistemas de contingencia.
• Trucos aplicados a entornos "servidor" bajo Windows 2000, Windows 2003 y
Windows Vista.
Dirigido a:
Administradores/responsables de sistemas que deseen ampliar sus conocimientos de
seguridad en entornos Windows.
Auditores/consultores de nuevas tecnologías que necesiten profundizar en técnicas de
hardening de Windows.
Profesionales que busquen un impulso en su carrera mediante formación altamente
especializada.
14. Seguridad en Solaris
*Curso de temario propio (solicitar temario)
Lugar: en nuestras dependencias o en las del cliente según se prefiera.
Duración: a medida
Prerrequisitos: nociones generales de Unix/Linux.
Para qué prepara::
• Minimización del sistema.
• Seguridad de la consola (OpenBoot PROM, EEPROM, seguridad del teclado).
Sistema de ficheros (permisos de ficheros, suid, mount, gestión de
volúmenes). Gestión de cuentas.
• Seguridad de cron y at. Sistema init. Umask. Servicios y niveles de ejecución.
• Ajustes del kernel. Protección de la pila (stack).
• Ficheros core. Logs. Syslog. PAM. Login.
• Servicios de red (telnet, comandos "r", ftp, inetd, servicios RPC). Servidor
NFS. Sendmail. Nscd.
• Servicios de impresión. Enrutamiento.
• Avisos de seguridad en servicios de red. Seguridad ante ataques de red.
• Defensa ante ataques ARP.
• Defensa ante ataques IP (RIP, ICMP). Defensa ante ataques TCP (syn-flood,
etc).
Dirigido a:
Administradores/responsables de sistemas que deseen ampliar sus conocimientos de
seguridad en entornos Solaris.
Auditores/consultores de nuevas tecnologías que necesiten profundizar en técnicas de
hardening de Solaris.
15. Web Hacking
*Curso de temario propio (solicitar temario)
Lugar: en nuestras dependencias o en las del cliente según se prefiera.
Duración: a medida
Prerrequisitos: Conocimientos genéricos de programación web (HTML, PHP, ASP,
CGI...)
Para qué prepara:
Temario:
• Lenguajes de programación web.
• Servidores web y bases de datos.
• Análisis de la aplicación web (lógica, código accesible, diseño, filosofía de
trabajo, vicios, mecanismos de autenticación y autorización, estructura).
Herramientas de análisis automatizado de webs.
• Herramientas de inspección y modificación de tráfico HTTP/HTTPS.
Ataques:
• a los sistemas de validación o acreditación, al seguimiento de sesión, a
directorios/ficheros ocultos.
• Ataques de inyección de código y Cross Site Scripting (XSS), Cross Site
Tracing (XST), HTTP Splitting, HTTP Request Smuggling (HRS),
envenenamiento de caches HTTP.
• SQL injection. Envenenamiento de cookies.
• Ataques a CGI's. Fuzzing. SSL man-in-the-middle. Phishing. Ataque a la lógica
de la aplicación. a applets de java.
• Server side debuging. HTTP fingerprinting.
• Ataques a formularios.
• Abuso de la codificación de URL's.
• Ataques a SSL y certificados.
• Ataques de fuerza bruta.
• Estudio de casos reales y complejos de web hacking.
• Ejemplos sobre Apache, IIS, Iplanet, Zeus, etc.
Dirigido a:
Administradores/responsables de sistemas que deseen ampliar sus conocimientos de
seguridad.
Auditores/consultores de nuevas tecnologías que necesiten profundizar en técnicas de
web hacking.
Desarrolladores web, webmasters que deseen profundizar en técnicas de hacking.
Pen- Testers.
Profesionales que busquen un impulso en su carrera mediante
formación altamente especializada.
16. Desarrollo de exploits en Línux
*Curso de temario propio (solicitar temario)
Lugar: en nuestras dependencias o en las del cliente según se prefiera.
Duración: a medida
Prerrequisitos: nociones generales de C/Perl y lenguaje ensamblador en plataformas
Intel
Para qué prepara:
• Organización de la memoria de un proceso. Errores en el filtrado de las
entradas de usuario. Modificación de datos.
• Modificación del flujo de ejecución y redirección hacia una shellcode.
Redirección hacia funciones de librería.
• Explotación de un buffer overflow. Explotación de un Format String.
• Explotación de errores de las variables integer. Evasión de NIDS y técnicas
anti filtrado.
• Protecciones: Stack Guard, StackShield, Openwall, Grsecurity/PaX, Exec-
Shield. Evasión de las protecciones.
Dirigido a:
Pen-Testers o profesionales que deseen conocer las bases de la programación de
17. Psicología del Hacking
*Curso de temario propio (solicitar temario)
Lugar: en nuestras dependencias o en las dependencias del cliente según se prefiera.
Duración: a medida
Prerrequisitos: ninguno
Para qué prepara:
Esta formación le introducirá en mundo del hacking desde una perspectiva nueva y
muy poco estudiada: su psicología. 15 años dedicados a las TIC y los últimos 10
especializados exclusivamente en Tests de Intrusión, Hacking Ético y Auditorías de
Seguridad nos ha enseñado que la sociedad evoluciona mucho más rápido en el
plano "físico" que en el plano "mental".
Aunque ahora existen elaborados mecanismos de seguridad para proteger las redes y
la información, los ataques que funcionan, en su expresión más simple, siguen siendo
los mismos que hace una década.
No hemos evolucionado, al contrario, la pátina tecnológica ha propiciado un
distanciamiento del problema real: la seguridad empieza en la actitud de la persona.
No se puede combatir lo que no se comprende.
Descubra como piensa un intruso, su "modus operandi", sus objetivos. Descubra
cómo puede un atacante, entrar en su red corporativa en menos de 24 horas, y tomar
control de sus sistemas o robar lo que quiera. Descubra como puede, obtener toda la
información que desee de usted y de su actividad profesional.
Entienda como se lleva a cabo una intrusión telemática y los diferentes motivos.
Aprenda a distinguir a su atacante: ¿Es un adolescente curioso?¿Es un empleado
interno con información privilegiada?¿Es un atacante experto?
Aprenda a negociar, manipular y contener un ataque. Aprenda a preparar trampas y a
detectar a tiempo una potencial brecha de seguridad en la "capa humana".
Este curso le proporcionará una experiencia impactante sobre el lado "oscuro" del
hacking y le preparará para lo peor. Porque como reza un lema en La Red: "There's no
patch for stupidity"
Dirigido a:
Profesionales que desarrollen su actividad en cualquier área técnica relacionada con
la seguridad de los sistemas de información:
Responsables de Seguridad. Jefes de Desarrollo y desarrolladores.
Personal de Departamentos Técnicos, etc.
Gestores de Proyectos de Seguridad.
Departamentos de RRHH -selección de personal-.
18. Sensibilización I Personal Ejecutivo
*Curso de temario propio (solicitar temario)
Lugar: en nuestras dependencias o en las dependencias del cliente según se prefiera.
Duración: a medida
Prerrequisitos: ninguno.
Para qué prepara:
Evaluación de riesgos en entornos TIC.
Esta formación le proporcionará una visión alternativa sobre la robustez de sus
medidas de seguridad. ¿Cuánto "cuesta" parar su negocio? ¿Sus responsables de
seguridad hacen bien su trabajo?¿Tienen todos los recursos que necesitan? ¿Se
están aprovechando los recursos financieros y humanos de la mejor manera?
Descubrirá, con asombro, lo sencillo que resulta causar daños irreparables a su
negocio. Aprenderá también lo simple que es obtener los mejores resultados de sus
empleados si usted mismo entiende cual es el riego real.
Con ejemplos tremendamente gráficos y realistas, este curso le proporcionará a los
departamentos ejecutivos una referencia insustituible en materia de protección y
evaluación de riesgos de sus sistemas de información.
Dirigido a:
Directores de Sistemas de Información. Departamentos de Análisis de Riesgos.
19. Sensibilización II Personal Administrativo
*Curso de temario propio (solicitar temario)
Lugar: en nuestras dependencias o en las del cliente según se prefiera.
Duración: a medida
Prerrequisitos: ninguno
Para qué prepara:
¿Está cansado de ver como sus empleados comparten sus contraseñas? ¿De ver
como navegan irresponsablemente por Internet? ¿De como apuntan sus credenciales
en post-it sobre el monitor? ¿De como escogen contraseñas absolutamente simples y
predecibles?
Este curso pretende concienciar a este perfil de usuario, con las mismas técnicas que
en las formaciones de otros: mediante la práctica y la evidencia.
Sus empleados aprenderán que pueden ser espiados, que pueden acceder a su
ordenador remotamente, que pueden ser "utilizados" por desaprensivos para obtener
información, etc. El objetivo es crear un grado mínimo de paranoia, que les permita
realizar su trabajo con eficiencia pero comprendiendo sus obligaciones como usuarios
de sistemas de información corporativos.
Si sus empleados están concienciados, tendrá el 50% de la seguridad telemática de
su empresa garantizada. Para ello, les mostraremos con ejemplos reales, palpables,
lo que podemos hacer con sus ordenadores, con su privacidad y con la de la empresa
en la que trabajan.
Les sensibilizaremos de la mejor manera: implicándoles en el problema, explicándoles
además, la legislación vigente y sus responsabilidades al respecto.
Dirigido a:
Departamentos administrativos. Personal no técnico en general.