La habilidad para evitar y disminuir las fallas en los sistemas, redes, Internet y patrimonio informático (datos) de ataques antes de que estos ocurran, es la razón por la cual Tsares Technologies ha desarrollado una línea completa de servicios proactivos de seguridad, monitoreo, y evaluación de recursos, entre otros, para crear un modelo a la medida de las necesidades del Cliente, mediante el diagnóstico meticuloso después de un complejo análisis de riesgos (auditorias a todos los elementos que componen sus sistemas de información) efectuado a su infraestructura.

Este paquete de servicios ha sido diseñado para Particulares, PyMES y Empresas Grandes a fin de detectar, informar y corregir las vulnerabilidades y riesgos de Seguridad que existen dentro de las instituciones, y de esta forma asegurar que las empresas tengan control y certidumbre sobre uno de sus capitales más importantes: la información.

La solución ITSS provee a los empresarios una radiografía de sus sistemas y le permite determinar y canalizar los recursos apropiados para disminuir y eliminar los riesgos de ataques, tanto internos como externos.

La división Némesis MX de Tsares Technologies es una Consultoría especializada en Seguridad TI con más de 4 años de experiencia, Representantes Autorizados de eEye y Aventail, cuyos productos de Seguridad TI son reconocidos por la industria como los no. 1 en el mundo. Némesis MX no es una organización improvisada, ni tampoco un intermediario más, lo que sucede con muchas compañías de Seguridad TI en México, afectando la calidad del servicio e incrementando los costos ofrecidos al Cliente.

Servicios que ofrecemos:

• Asesoría en Sarbanes-Oxley
• Auditoria a Departamentos de Tecnologías de la Información (Normas, Políticas y Procedimientos)
• Auditoria a Centros de Cómputo/Data Centers
• Auditoria al Proceso de Desarrollo de Aplicaciones
• Auditoria a Servidores con Plataformas Windows, Unix, Linux
• Auditoria a PCs y Laptops
• Auditoria a Redes
• Plan de Recuperación en caso de Desastre/Plan para Continuidad del Negocio (Disaster Recovery Plan/Business Continuity Plan - DRP/BCP)
• Instrucción de Auditores Internos
• Implementación de VPNs (Virtual Private Networks)

Asesoría en Sarbanes-Oxley Act
¿Qué es Sarbanes-Oxley Act?

En el 2002, a raíz de los escándalos financieros ocurridos en algunas compañías (Enron, WorldCom, etc.), el Gobierno de EE.UU. reaccionó de inmediato emitiendo una serie de reformas a fin de asegurar transparencia en el manejo de las finanzas dentro de las empresas. Estas reformas quedaron plasmadas en la Sarbanes-Oxley Act (también conocida como SOA o SOX) y a partir de ese entonces, las compañías norteamericanas deben cumplir (compliance) con esta iniciativa gubernamental:

“El día de hoy, firmo las reformas más profundas para la práctica de negocios en EE.UU., desde los tiempos de Franklin Delano Roosevelt. Estas nuevas leyes envían mensajes muy claros que a todos conciernen. Esta ley dice a cada líder corporativo deshonesto: serás expuesto y castigado; la era de los bajos estándares y las falsas ganancias ha terminado; ningún Consejo Corporativo en EE.UU. está por encima o fuera de la ley ”

Palabras de George W. Bush, Presidente de los EE.UU., al firmar la Sarbanes-Oxley Act en Julio 30 del 2002.

Se debe definir un proceso para que el Departamento de Tecnologías de la Información se asegure que la retención de información sensitiva (manejo de registros) se esté llevando a cabo y que ésta se encuentre protegida contra alteraciones, corrupción, y destrucción, ya que esta información puede ser necesaria en caso de auditorias, investigaciones, litigios u otro procedimiento formal. Control Interno se encargará de auditar a IT en cuanto a la retención de registros, en base a SOX.
SOX es una iniciativa mandatoria del Gobierno de los EE.UU. para todas las corporaciones.
SOX no solo afecta a empresas estadounidenses. El siguiente es un extracto de la entrevista realizada el 28 de Julio 2004 a Octavio Osorio, Director General de EMC:
“ …está normatividad (SOX) que deben cumplir las empresas mexicanas que cotizan en la Bolsa en EE.UU. y también las subsidiarías de firmas internacionales que operan en México y que cotizan en la Bolsa de Estados Unidos deben de cumplir con estas regulaciones y esto a final de cuentas representa un detonador para la industria de almacenamiento de información. Porque esta ley obliga a las empresas a tener un gobierno corporativo más estricto, reglas claras y transparencia. Y la transparencia pues no es otra cosa más que garantizar el registro de datos, el almacenamiento de la información de manera integras, segura, inalterable. Y ahí es precisamente un nicho que nosotros hemos encontrado para, como te comento, tener un crecimiento acelerado.
Ahora en México lo que identificamos es que las empresas se encuentran actualmente preocupadas sí en cumplir con estas regulaciones y se encuentran en proceso de ver la forma en la cuales la van a cumplir, porque a partir del 2005 deben estar preparados para cumplir con estas regulaciones ¿no?
Y así como existen estas regulaciones, por ejemplo lo acabas de comentar de Sarbanes-Oxley.”

Auditoría a Departamentos de Tecnologías de la Información (Normas, Políticas y Procedimientos)

• Organigrama
• Descripción de puesto, responsabilidades y funciones
• Carta política de uso de recursos informáticos de la empresa
• Procedimiento para control de acceso a sistemas y aplicaciones
• Control de usuarios (perfiles, privilegios, alta y baja de usuarios, etc.)
• Procedimiento de acceso remoto
• Hojas de instrucción (procedimientos de instalación, operación, mantenimiento de hardware y software, procedimiento de actividades)
  

Auditorias a Centros de Cómputo / Data Center

• Clasificación del Centro de Cómputo
• Energía (Site Monitors)
• Edificación
• Piso falso
• Condiciones de cableado
• Racks
• Sistemas contra incendio
• Procedimientos de evacuación
• Control de acceso
• Sistema de alarmas
• Puerta principal y salidas de emergencia
• Procedimiento de respaldo de información
• Procedimiento para control de medias de almacenamiento (cartuchos, cintas, CDs, etc.) de información
• Manejo de papel
• Checklist de recursos (red, servidores, aplicaciones)
• Bitácoras

Auditoría al Proceso de Desarrollo de Aplicaciones

• Tabla entrada-proceso-salida
• Diagrama de flujo
• Clasificación de la aplicación (crítica, financiera, privada, propietaria)
• Registro de la aplicación (formato)
• Documentación y programas fuentes de la aplicación (CDs, Responsables de la aplicación, proveedor, archivos a respaldar,links, etc.)

Auditoría a Servidores con Plataformas Windows, Unix, Linux

• Vulnerabilidades
• Service Pack
• Usuarios
• Puertos
• Servicios

Auditoría a PCs y Laptops

• Vulnerabilidades
• Service Pack
• Usuarios
• Puertos
• Servicios

Auditoría a Redes

• Ruteadores
• Switches
• Puntos de Acceso

Disaster Recovery Plan/Business Continuity Plan (DRP/BRP)

• Teoría del DRP/BCP
• Funciones y Responsabilidades
• Centro de Cómputo o Data Center
• Apéndices
• Documentación

Instrucción de Auditores Internos

• Centros de Cómputo
• Proceso de desarrollo de aplicaciones
• Normas, Políticas y Procedimientos del Departamento de Tecnologías de la Información
• Disaster Recovery Plan/Business Continuity Plan (DRP/BCP)
• Sarbanes-Oxley Act

Implementación de VPNs (Virtual Private Networks)

• Soluciones Robustas y Escalables con soluciones de alto nivel con productos Aventail.

Auditorías y Procedimientos basados en los siguientes estándares:

• BS 7799
• ISO 17799
• Sarbanes-Oxley

Nuestras fuentes de información

• Aventail
• Burton Group
• Cisco Systems
• CSI
• eEye Digital Security
• EMC
• Ernst & Young LLP
• Deloitte LLP

• Deloitte Touche Tohmatsu
• FBI
• Forrester Research Inc.
• Gartner Inc.
• ISS
• SANS Institute
• TechTarget

Para mayor información y contratación de los servicios de seguridad contactanos en: security@tsares.net