HOME CLIENTES CASE STUDIES

CASE STUDIES

Case Study

Gestión de riesgos de partners estratégicos

Case Study Conozca más »

Case Study

Adopción y certificación de la norma ISO 27001

Case Study Conozca más »

Case Study

Servicio de Pentesting Persistente

Case Study Conozca más »

Case Study

Hackear una Smart Camera: Exposición y vulnerabilidades

Case Study Conozca más »

Gestión de riesgos de partners estratégicos

Tipo de Cliente: Farmacéutica / Biotecnología con más de 15.000 empleados y presencia global

  Desafío:

El Cliente cuenta con un conjunto de partners estratégicos que aportan soluciones tecnológicas, principalmente en el modelo CaaS (Cloud as a Service), y el cliente tuvo dificultades para contar con la estructura y el conocimiento profundo para realizar regularmente la evaluación de la postura de ciberseguridad de sus partners y los potenciales riesgos que pudieran derivarse de ello.

  Solución:

INTEGRITY presentó un servicio al cliente, compuesto por un proceso que fue diseñado junto con el cliente a partir del cual, realiza regularmente la evaluación de cada uno de los partners indicados por el cliente con el fin de llevar a cabo la identificación, caracterización y proporcionar recomendaciones sobre los riesgos identificados.

El proceso de evaluación tiene varios grados de profundidad que se definen de acuerdo con la criticidad de cada uno de los partners y la propia solución.

Dentro del ámbito del servicio, y con el fin de que el servicio sea lo más eficaz y eficiente posible, INTEGRITY utiliza de forma combinada la solución IntegrityGRC que acelera el proceso de estructuración, definición y elevación de riesgos, así como, mediante el uso del módulo de Evaluaciones y gestión de riesgos, proporciona al cliente una entrega más práctica en base a la cual es posible tomar medidas y monitorear la evolución del Roadmap de Implementación.

  Impacto:

El cliente ahora tiene un conocimiento profundo de los riesgos que resultan de cada uno de sus partners y soluciones, y a través del seguimiento y la gestión de estos entregables ha dado como resultado una reducción considerable del riesgo para la organización.

A través del servicio contratado, el cliente también pudo responder de forma estructurada a un requerimiento de cumplimiento que tenía, respecto a la gestión de riesgos de terceros.

  Servicios relacionados:

  • Gestión de riesgos de terceros (en breve más información)
  • integritygrc
    IntegrityGRC

Adopción y certificación de la norma ISO 27001

Tipo de Cliente: Entidad Gubernamental Nacional

  Desafío:

El cliente, en el contexto del desarrollo de sus funciones, tenía un requisito reglamentario para la adopción e implementación de un sistema de gestión de la seguridad de la información (SGSI ISO 27001), con su certificación por entidad acreditada.

El Cliente no tenía los conocimientos o recursos suficientes para llevar a cabo la implementación.

  Solución:

INTEGRITY ofreció un servicio compuesto por la realización de un proyecto, con la intervención de su equipo de consultores, a través del cual se procedió al proceso de implementación y apoyo en la certificación obtenida por el cliente.

Durante este proyecto, que duró 9 meses, INTEGRITY aplicó su Roadmap de 5 pasos, probada en numerosos proyectos, a través de la cual apoyó al cliente en todas las actividades, es decir, en la estructuración de procesos y documentación, en la implementación de estos procesos, definición y acción de análisis de gestión de riesgos, operación, entre otras actividades críticas.

Todas las actividades realizadas fueron apoyadas por la plataforma IntegrityGRC de INTEGRITY, que tiene una efectividad comprobada de más del 40% en el momento de su implementación, teniendo en cuenta las funcionalidades proporcionadas por la plataforma que soporta plenamente todas las actividades clave de la implementación de un determinado estándar o reglamento, desde los componentes documentales y asegurando su conexión con el componente operativo.

  Impacto:

El Cliente pudo aumentar su madurez y práctica de gestión de la seguridad de la información de manera muy sagaz a través de la adopción de ISO 27001, y fue capaz de cumplir con su objetivo de certificación ISO 27001 en el tiempo definido, a través del servicio de implementación de INTEGRITY.

  Servicios relacionados:

Servicio de Pentesting Persistente

Tipo de cliente: Entidad Financiera con más de 35.000 empleados y con presencia global

  Desafío:

El Cliente cuenta con un conjunto muy considerable de aplicaciones empresariales, con datos muy sensibles y soporte de transacciones financieras, y con una alta dinámica de actualizaciones.

El Cliente sintió que el modelo de prueba tradicional no podía mantenerse al día con la dinámica de sus requisitos de negocio, así como sintió poca agilidad en el proceso de informes y la gestión de los resultados de sus acciones de pruebas de intrusión.

  Solución:

Los requisitos de este cliente fueron inmediatamente igualados por el servicio de pentesting persistentes KEEP-IT-SECURE-24 que INTEGRITY ha lanzado en 2013.

A través de este servicio el cliente dispone de Pruebas de Intrusión Persistente, integradas en su ciclo de gestión de cambios y con pruebas manuales en profundidad realizadas por el equipo certificado de INTEGRITY.

Con la entrega de este servicio, el cliente tiene acceso al portal de servicios donde puede gestionar el ciclo de vida de sus vulnerabilidades, asegurar la interacción entre los equipos de resolución y el equipo de pruebas de INTEGRITY, generación dinámica de informes y soporte durante la resolución efectiva de vulnerabilidades.

  Impacto:

El cliente pudo a través de KEEP-IT-SECURE-24 obtener un servicio con un costo muy eficiente en comparación con el servicio que tenía anteriormente, con el cumplimiento efectivo de sus objetivos.

El servicio finalmente ayudó al cliente a mitigar más del 60% de las vulnerabilidades en comparación con lo que tenía como historial, y con un tiempo de resolución en algunos casos reducido a menos de la mitad del registrado anteriormente.

  Servicios relacionados:

Hackear una Smart Camera: Exposición y vulnerabilidades

Tipo de cliente: El cliente es una empresa líder en análisis de desempeño y opera en una geografía global

  Desafío:

Como líder de la industria, nuestro cliente se esfuerza por introducir las últimas tecnologías en su mercado para lograr datos perspicaces de la transmisión de video en tiempo real de la cámara. El proceso utilizado para capturar video y ejecutar análisis se basa en la distribución geográfica de las cámaras que en algún momento podrán no estar conectadas a entornos de confianza y necesitarán conectarse de manera segura a la infraestructura de nuestro cliente.

Nuestro cliente nos pidió que sometiéramos su producto estrella, una cámara inteligente, a pruebas de seguridad en profundidad.

  Solución:

Los requisitos planteados por nuestro cliente fueron abordados por un proyecto Pentest considerando múltiples vectores de amenaza. El enfoque incluyó los siguientes escenarios:

• Se consideró el acceso físico a la cámara ya que las cámaras se colocan a menudo en áreas inseguras, y un potencial atacante puede acceder a ellas para recopilar conocimientos o comprometer el sistema;
• El acceso a la red cableada e inalámbrica a la cámara se consideró un vector válido, ya que las cámaras generalmente se colocan en redes no seguras a las que pueden acceder los posibles atacantes;
• Los endpoints de la API consumidos directamente por la cámara en nuestra infraestructura de cliente también fueron considerados.

El enfoque abarcó los siguientes pasos:

• 1er paso – investigar la solución y comprender el papel de cada bloque;
• 2er paso – realizar un ejercicio modelado de amenazas y decidir qué vectores analizar primero (red, hardware, aplicación);
• 3er planificar y ejecutar.

Algunas de las técnicas utilizadas:

• Investigar el hardware para comprender los chips y proveedores utilizados;
• Subvertir boot usando conexión en serie;
• Pruebas e conexión Wi-Fi (aplicación móvil - activación de la cámara);
• Separar el disco SSD M2 de la cámara para leer la información;
• Interceptar comunicaciones desde puertos Ethernet;
• Probar los servicios expuestos de la cámara;
• Sistema operativo de arranque (alternativo) a través de la ranura para tarjeta Micro SD;
• Instalación de la autoridad de certificación (CA) en el sistema operativo de la cámara para realizar MiTM.

El proyecto Pentest permitió el descubrimiento de múltiples vulnerabilidades importantes que fueron resueltas rápidamente por el cliente, reduciendo el riesgo para la organización del cliente y los usuarios de la solución. Los hallazgos van desde la capacidad de un atacante para acceder a las imágenes de video accediendo al almacenamiento interno de la cámara, la capacidad de comprometer la cámara e interceptar las comunicaciones y también la capacidad de comprometer el backend de análisis de la infraestructura de nuestro cliente.

  Impacto:

El Proyecto Pentest ayudó al cliente a comprender los riesgos que planteaba la solución y permitió la resolución de vulnerabilidades, evitando que fueran utilizadas por atacantes reales para impactar en la organización de nuestro cliente o en los usuarios de la solución.

Confrontado con los resultados detallados en profundidad de la solución, el cliente percibió el valor de tener varias otras soluciones analizadas continuamente por el servicio KEEP-IT-SECURE-24.

  Servicios relacionados:

CONTACTOS

España

Calle Cronos 63, 4ª planta Oficina 2
28037, Madrid | España
T: +34 91 376 88 20
E: info@integritysec.es

United Kingdom

Suite 4B
43 Berkeley Square
Mayfair, Westminster
London, W1J 5FJ | United Kingdom

Portugal

Edifício Atrium Saldanha
Praça Duque de Saldanha, nº 1, 2º andar
1050-094, Lisboa | Portugal
T: +351 21 33 03 740

 




x

Consentimiento Cookies X

Integrity S.A. utiliza cookies para elaborar información estadística y de presentación de información más personalizada, en función de sus hábitos de navegación. Para más información, consulte nuestra Política de Cookies.