Este servicio busca identificar y medir las diferencias existentes entre los requerimientos mínimos de seguridad establecidos por el PCI DSS y lo entregado por los sistemas de seguridad de la información de la organización. Se realiza entonces en la organización, un análisis exhaustivo del manejo que le dan a la información en los procesos relacionados con tarjetas crédito y débito de la organización. Lo anterior es realizado mediante la comparación de dos variables: La primera variable (X) es el estado actual y la segunda variable (Y) es el estado deseado. El estado actual está basado en los controles implementados actualmente y el estado deseado está basado en los requerimientos del PCI DSS:

Los beneficios ofrecidos a nuestros clientes con este servicio son:

• Proveer una guía para la toma de decisiones acerca de los procesos y controles técnicos a implementar.
• Provee un método para medir el cumplimiento.
• Definir un plan de acción de los controles a implementar, antes de llevar a cabo la evaluación por parte de una QSA.

IQ Information Quality Ltda. está acreditada por el PCI SSC, para realizar las evaluaciones a las organizaciones que requieren obtener el cumplimiento del PCI DSS. Es por eso, que realizamos en las empresas de nuestros clientes esta evaluación para identificar los controles no cubiertos por la organización y definir un plan de acción que permita en un periodo definido cerrar las no conformidades y de esta manera poder obtener el reporte de cumplimiento para que nuestros clientes reciban la certificación.

Este servicio se ofrece para todas aquellas organizaciones clasificadas como comercios o proveedores de nivel II, en donde no es necesario realizar una evaluación en sitio. Para estas organizaciones proveemos el soporte necesario para la elaboración del auto cuestionario y el acompañamiento de la elaboración del plan de acción de los controles que resulten no estar cubiertos en la organización. Adicionalmente, en alianza con la ASV Qualys realizamos el scan de vulnerabilidad de la red perimetral.

De acuerdo con la necesidad específica de nuestros clientes como organización, IQ Information Quality les colaborará en la determinación de las políticas y procedimientos necesarios para implementar un marco de gestión de seguridad de la información. Estas políticas y procedimientos están alineadas con mejores prácticas internacionales como: PCI DSS e ISO 27001. Con este marco nuestros clientes obtendrán la base de preparación para una posterior certificación en las normas mencionadas, estar acorde con la legislación nacional vigente o simplemente si están interesados en dar un buen manejo a la seguridad de la información sin querer llegar a una certificación específica.

• Cifrado (Encryption).
• Antivirus.
• Control de acceso físico y lógico.
• Destrucción y retención de información.
• Respaldos (backups).
• Manejo y respuesta a incidentes.
• Administración de vulnerabilidades.
• Desarrollo de software.
• Continuidad y recuperación ante desastres.
• Roles y responsabilidades.
• Administración de cuentas y contraseñas.
• Líneas base de configuración de software.

El proceso para la creación de las políticas y procedimientos implica etapas como:

• FASE UNO: Conocimiento de las necesidades de la organización mediante la recolección de la documentación relacionada con procesos, recurso humano, infraestructura tecnológica, cumplimiento legal y regulatorio. Además, se realizarán entrevistas especializadas con el ánimo de recopilar información confiable para ajustar el trabajo a las necesidades puntuales de la organización.
• FASE DOS: Con base en la información obtenida en la primera fase, IQ Information Quality documentará las políticas y procedimientos que necesita la organización para el propósito que requiera, bien sea certificarse o poseer mejores prácticas para el manejo de su información.
• FASE TRES: IQ Information Quality le entregará a la organización, los documentos generados en la segunda fase, para que se realice la verificación contra los objetivos propuestos y si es necesario realizar el ajuste de acuerdo a las sugerencias convenidas.
• FASE CUATRO: Se realizará la entrega formal de las políticas y procedimientos para su organización. Si dado el caso, necesita que le colaboremos con la implementación de las políticas y procedimientos estamos en la capacidad de suministrarles a nuestros clientes este servicio adicional.
• FASE CINCO (Opcional): Si desea que se realice una revisión posterior de las políticas y procedimientos implementados, para por ejemplo, ajustarlos con nuevas leyes y regulaciones, requerimientos contractuales o cambios en la organización, nosotros podemos colaborar efectivamente con estas actividades, todo encaminado en mantener la seguridad de información de nuestros clientes.

El objetivo de la elaboración del Plan de Recuperación ante Desastres, consiste en organizar el área de tecnología de información para que esta se prepare a responder adecuadamente a un incidente que afecte la infraestructura tecnológica de la empresa que soporta los procesos de tarjeta de crédito o débito.

Los entregables para este servicio son:

• Análisis de impacto de negocio – BIA.
• Estrategias de recuperación.
• Procedimientos de activación, recuperación y restauración.
• Equipos de recuperación de roles y responsabilidades.
• Plan de pruebas.

Un test de Penetración es un ataque dirigido y controlado hacia componentes de infraestructura tecnológica para revelar malas configuraciones y vulnerabilidades explotables, con este test se evalúa en mayor profundidad las vulnerabilidades encontradas en el Análisis de Vulnerabilidades para cuantificar las amenazas.

Entendiendo la importancia de este test, le ofrecemos a nuestros clientes un servicio en donde realizamos un test de Penetración explotando las vulnerabilidades al utilizar técnicas y herramientas de los hackers, códigos maliciosos, entre otros, mostrando las implicaciones de una intrusión y a su vez demostrando a la organización lo que un verdadero atacante podría hacer bajo las actuales circunstancias, configuraciones y vulnerabilidades encontradas en el entorno tecnológico de nuestros clientes.

Durante nuestros test, evaluamos los procesos y tecnologías, intentando evadir los controles implementados para obtener acceso a los activos de información críticos dentro del entorno informático de nuestros clientes. El éxito de estos controles de seguridad es crucial, para poder obtener un continuo éxito de la estrategia de seguridad y del cumplimiento del PCI DSS.

Nuestros consultores usan las mismas herramientas y técnicas usadas por hackers para identificar y validar las vulnerabilidades del ambiente IT de nuestros clientes.

Las fases para cumplir con este servicio son:

• Recopilación de Información.
• Identificación de objetivos.
• Enumeración de objetivos.
• Identificación y Análisis de Vulnerabilidades.
• Explotación de Vulnerabilidades.

La identificación y remediación oportuna de las vulnerabilidades en la infraestructura tecnológica es algo que toda organización necesita llevar a cabo para evitar que ataques externos (ciberdelincuentes) y usuarios internos (empleados malintencionados o enojados con la organización) exploten dichas vulnerabilidades y comprometan a la organización. La Gestión de Vulnerabilidades son las actividades concernientes a identificar vulnerabilidades, analizarlas, categorizarlas según su impacto para el negocio, remediarlas y reportarlas a los interesados.

IQ Information Quality Ltda. está aliado con QUALYS para poder prestar los servicios de Gestión de Vulnerabilidades, ya sea para obtener el cumplimiento con PCI DSS o para establecer controles de gestión de vulnerabilidades de su SGSI basado en ISO 27001.

Estos servicios, le permiten a nuestros clientes asegurar su infraestructura IT y a su vez obtener un mapa y listado completo y detallado de su nivel de exposición a los riesgos latentes (tanto internos como externos). Analizamos sistemáticamente las vulnerabilidades encontradas en la infraestructura tecnológica de nuestros clientes para determinar el nivel de riesgo asociado con las vulnerabilidades y listar las recomendaciones para brindar un apoyo en la mitigación del riesgo, para que de esta manera nuestros clientes logren alcanzar los objetivos de seguridad de información.

Las áreas de trabajo de nuestra solución de Análisis de Vulnerabilidades son:

• Red: Vulnerabilidades vistas desde redes (Lan, Wan, Internet, etc.), switches, APs, routers, RAS, firewalls, etc.
• Sistemas Operativos: Se evalúan las vulnerabilidades asociadas a configuraciones internas de sus servidores.
• Web:Se evalúan las vulnerabilidades actuales y potenciales de las plataformas web de su empresa (Web Aplication Vulnerabilities), basados en la metodología OWASP. *Ver servicio de Análisis de Vulerabiliad en Aplicaciones Web.
• Bases de datos:Búsqueda de malas prácticas y vulnerabilidades en configuraciones de bases de datos.

Para este análisis se utiliza la metodología internacional OSSTMM, OWASP, al igual que herramientas comerciales (la galardonada QualysGuard Vulnerability Management ). Permitiendo entregar a nuestros clientes la siguiente información:

• Notificación inmediata de las vulnerabilidades de Alto Impacto para el negocio, el cómo y el cuándo fueron descubiertas.
• Reportes técnicos y ejecutivos detallando las pruebas realizadas y los hallazgos
• Profesionales disponibles durante el análisis para discutir cualquier asunto o hallazgo
• Reporte final que comprende todas las actividades y hallazgos durante el curso del análisis.

- Resumen Ejecutivo

- Visión global del análisis

- Hallazgos técnicos

- Matriz de Impactos por las vulnerabilidades encontradas

- Conclusiones

- Recomendaciones

Adicionalmente nuestros clientes obtendrán los siguientes beneficios al obtener este servicio:

• Obtener un análisis de Vulnerabilidades con una visión detallada de las vulnerabilidades existentes en su infraestructura IT.
• Desarrollar una estrategia de remediación proactiva. Enfocándose en elementos específicos dentro de su infraestructura o la infraestructura completa.

Para garantizar la seguridad de la información es importante contar con la participación de las personas que acceden a los activos de información; para lograr involucrar a estas personas es necesario realizar una concientización y entrenamiento en seguridad de la información, mediante la cual podrán conocer sus responsabilidades y la manera correcta de realizarlas, además de crear en el recurso humano la sensibilidad de las amenazas y vulnerabilidades del sistema de computo y a reconocer la necesidad de proteger la información y los medios utilizados para su procesamiento.

IQ Information Quality Ltda. ofrece los servicios de concientización, capacitación y entrenamiento en distintas modalidades y niveles que se traducen en una amplia oferta de cursos, seminarios, charlas y programas que cubren todos los aspectos actuales de la seguridad de la información.

Los entregables de este servicio son:

• Informe de diagnóstico.
• Diseño de la campaña.
• Plan de medios
• Mecanismos de monitoreo y evaluación.

La evaluación de riesgos en un entorno de datos de tarjetahabiente (CDE) es uno de los principales esfuerzos para lograr cumplimiento con la norma PCI DSS. Es por esto que IQ Information Quality Ltda., entrega a sus clientes una imagen real de su situación frente al riesgo de la información y de su ambiente de datos de tarjetahabiente (CDE). Priorizamos y clasificamos los riesgos únicos de su negocio, junto con la infraestructura tecnológica frente a los posibles compromisos que pueden sufrir los datos sensibles del tarjetahabiente, que en últimas es la información de los clientes.

Nuestra metodología de Gestión de Riesgos es flexible, escalable y acorde al tipo de negocio que se esté trabajando, considera a su vez las realidades empresariales y el entorno de las amenazas en el que navega el sector de medios de pago electrónico. Este enfoque es pragmático y aplicado, basado en experiencias del mundo real, apoyados en estadísticas y estudios de consultoras de investigación internacional y los reportes emitidos por las propias marcas de tarjetas de pago.

Nuestros servicios de gestión de riesgos CDE se ofrecen de acuerdo a las necesidades de la norma PCI DSS de cada negocio. Contamos con un equipo de ingenieros consultores que proveen un enfoque basado en las mejores prácticas internacionales, incluyendo:

• BS 7799-3
• ISO 27005
• NIST 800-30
• NTC 5254 - AS/NZ 4360

El objetivo con la prestación de este servicio es: determinar la posibilidad para las empresas, de un compromiso de datos y su impacto donde dicho compromiso ocurra. Además determinar cuál es el riesgo por no cumplir con los requerimientos de PCI DSS y mostrar a la dirección los costos por el no cumplimiento.

Los reportes entregados serán la piedra angular para las políticas y demás procedimientos de nuestros clientes, así como apoyo para la justificación de los controles compensatorios que se puedan generar durante el proceso.

Nuestro servicio de análisis de vulnerabilidades de aplicaciones WEB le entrega a nuestros clientes una visión detallada de la efectividad de los controles de seguridad establecidos para proteger las aplicaciones web de ataques. IQ Information Quality Ltda. en conjunto con QUALYS y WhiteHat y su plataforma avanzada de análisis de vulnerabilidades para plataformas web y aplicando el proyecto OWASP (Open Web Application Security Project), tiene un completo servicio para evaluar la seguridad y vulnerabilidades de las aplicaciones WEB de nuestros clientes.

Este servicio incluye revisiones que permite detectar:

• Parámetros inválidos de entrada de datos.
• Cross Site Scripting (XSS).
• Cross Site Request Forgery (CSRF)
• SQL and Command Injection
• Buffer Overflows, etc