Este sitio web utiliza cookies para mejorar su experiencia de navegación y compilar estadísticas sobre el tráfico.
Más información sobre cómo usamos las cookies y de qué manera puede cambiar su configuración.
La gestión de riesgos y cumplimiento de TI es esencial para operar en muchas industrias. Debe implementarse de manera sistemática y organizada para permitir un perfecto control de las operaciones. Los ingenieros de SCASSI le asesoran en cada etapa, desde el diagnóstico hasta la implementación, monitoreo y mejora de sus dispositivos, con el fin de garantizar que cumpla con la normativa y las políticas de gestión de riesgos. SCASSI le apoya en la implementación de un sistema de gestión de seguridad de la información (SGSI), a través de un enfoque basado en el estudio de riesgos.
SCASSI le apoya en la implementación de un sistema de gestión de seguridad de la información (SGSI), a través de un enfoque basado en el estudio de riesgos.
NUESTRAS HABILIDADES TÉCNICAS EN CIBERSEGURIDAD
Servicio de CISO y DPO aaS
Análisis de riesgos, definición y tramitación de requisitos de seguridad en un sistema dual (civil/militar)
Análisis de riesgo sobre repositorios de negocio (por ejemplo TARA)
Apoyo a la certificación ISO 27001 HDS
Auditorías organizativas y físicas
Soporte para el diseño de arquitectura de software seguro
Realización de análisis de riesgo “a medida” u ofertas empaquetadas
segurar el tratamiento de datos personales (tratamiento de datos AEPD)
Análisis y soporte para el cumplimiento normativo y normativo: ISO 27001, LODPGDD, LPIC, ENS y normas sectoriales como IEC 62443, TISAX, ISO 21434, etc
Proceso de seguridad: certificación SI, seguridad de proyectos, gestión de accesos, etc.
Políticas de seguridad y coaching de CISO
Dirección y gestión de la seguridad (indicadores, cuadros de mando, planes directores, etc.)
DRP y PCA: estrategias de emergencia, gestión, gestión de crisis
Provisión de requisitos y especificaciones de seguridad – AMOE AMOA
Nuestros clientes lo dicen...
« SCASSI contribuyó significativamente a obtener la certificación inicial ISO 27001 de nuestras actividades de servicios en la nube, brindando el asesoramiento y la experiencia adecuados para este proyecto estratégico. »
El sistema de información es el corazón de los sistemas de producción. Es crucial garantizar un nivel óptimo de protección para la empresa y sus recursos. Los ingenieros de SCASSI le apoyan en el diseño y funcionamiento óptimo de las infraestructuras de seguridad. El objetivo: garantizar a las aplicaciones y a los usuarios una base de comunicación segura y robusta y dar soporte eficaz al negocio.
NUESTRAS HABILIDADES TÉCNICAS EN CIBERSEGURIDAD
Auditoría y diagnósticos de seguridad de la Infraestructura
Bastionado de configuraciones inseguras (Servidores, cloud, FW, switch, hipervisor, OS, IDS, aplicativos, etc)
Bastionados de infraestructuras red team
Blue team aaS
Segmentación de redes y VLAN
Seguridad por diseño de la infraestructura TIC
Creación y gestión de un SOC escalable orientado al negocio
Optimización de Infraestructuras SSI
Protección de arquitecturas e infraestructuras ICS y SCADA (PLC, ModBUS, etc.)
Políticas de retención de logs y cumplimiento RGPD
Gestión de vulnerabilidades
Control de acceso y NAC (autenticación, gestión de derechos, etc.)
Arquitectura L2/L3 (alta disponibilidad, optimización, etc.)
Defensa en profundidad, seguridad perimetral (WAF, Proxy...)
Monitorización y gestión de incidencias (SIEM, logs, alertas, etc.)
Legislación y regulaciones
Guías aplicadas
CCN-STIC, STIG, benchmarks CIS, ENISA, ANSSI, INCIBE
Entornos de trabajo
Linux - Windows - SCADA - entornos híbridos
Los ingenieros de SCASSI evalúan la seguridad del sistema y le ayudan a definir e implementar los requisitos de seguridad en cualquier proyecto TIC o industrial, hasta obtener las aprobaciones necesarias.
Nuestros ámbitos de actuación se centran en los sistemas de información sectoriales.
NUESTRAS HABILIDADES TÉCNICAS EN CIBERSEGURIDAD
Tests de penetración (PENTEST)
- Modo caja negra, caja gris y caja blanca
- Desde infraestructuras internas o desde el exterior
- Investigación de información pública OSINT
Simulación de adversario
Auditoría de código (C/C++, PHP, Python, Java, NodeJS, Android ...)
Auditoría de configuración
Auditoría conjunta (sitio web + aplicación móvil, IOT + infraestructura de gestión)
Dominios web, aplicaciones, sistemas, críticos embebidos, IOT, móvil
Gestión de la ciberseguridad en proyectos de desarrollo de software
Formación en desarrollo seguro de software
Auditoría de seguridad de aplicaciones y prácticas de desarrollo
Auditoría del entorno de desarrollo
Análisis forense (vivo o muerto), búsqueda de pruebas, análisis de las fuentes de una intrusión y reporting pericial
Análisis de vulnerabilidad de software (SVA)
Diseño de arquitecturas seguras
Análisis de Arquitecturas en componentes / COTS
Gestión de vulnerabilidades: mapeo COTS (ej: componente AUTOSAR, Yocto linux...), gestión de flujo de vulnerabilidades
Tests de penetración en aplicaciones de gestión del ciclo de vida del producto y el sistema de información
Soporte de seguridad en el proceso de certificación (DO 178C, ECSS, ARINC, etc.)
Soporte para asegurar tecnologías bajo Control de Exportación
Guías aplicadas
Cyber Kill Chain, OWASP WSTG, OWASP ASVS, OWASP TOP10, ISO 15408, OSSTMM, PCI-DSS
Entornos de trabajo
Linux - Windows - SCADA - dispositivos móviles, entornos híbridos
Nuestros clientes lo dicen...
« Dada su experiencia en el campo, elegimos a los equipos de SCASSI para que nos apoyaran en la realización de pruebas de intrusión en varios de nuestros sistemas integrados. »
« SCASSI llevó a cabo una misión de auditoría de código para nosotros. Basándose en un método de proyecto flexible y orientado a resultados, los ingenieros de SCASSI han podido demostrar adaptabilidad y ser proactivos. Formularon recomendaciones y conclusiones que ahora constituyen una base reutilizable en otras acciones para mejorar y asegurar nuestras aplicaciones... »
Los ingenieros DFIR (Digital Forensics & Incident Response) de SCASSI trabajan dentro de nuestro Centro de Operaciones de Seguridad ofreciendo un servicio diferenciador que combina la inteligencia de las amenazas de diferentes fuentes con la respuesta a incidentes y el peritaje forense digital.
NUESTRAS HABILIDADES TÉCNICAS EN CIBERSEGURIDAD
Ejecución de análisis técnicos avanzados dentro del proceso de respuesta de Incidentes (análisis de malware, análisis de tráfico, análisis de artefactos, análisis de comunicaciones, forense digital).
Gestión de crisis, notificaciones y comunicaciones con terceras partes.
Diseño de plantillas para informes, seguimientos y cuadros de mandos para la comunicación de incidentes de seguridad y procesos de gestión de crisis.
Diseño de procedimientos de respuesta a incidentes y gestión de crisis.
Apoyo en la creación de laboratorios que soporten el servicio de respuesta a incidentes.
Redacción de informes de análisis forense, informes de amenazas, playbooks
Correlación SIEM y SOAR (Azure Sentinel, IBM Qradar, …)
Herramientas de Ticketing (Servicedesk Plus, Jira, Remedy, ServiceNow, …)
Outils médico-légaux (X-Ways Forensics, Cellebrite Forensics, etc.)s
Proceso de seguridad: certificación SI, seguridad de proyectos, gestión de accesos, etc.
Referencias y colaboraciones
NIST SP 800-86, INCIBE-CERT, CCN-CERT
Entornos de trabajo
Linux - Windows - SCADA - dispositivos móviles, entornos híbridos