gxgx

GeneXus Consulting

Las instituciones financieras necesitan asegurar sus activos de información, incorporando las mejores prácticas de seguridad a sus aplicaciones y soluciones de negocio desde etapas tempranas del proceso de implementación. Este proceso es continuo dado que las amenazas se renuevan constantemente.

GeneXus Consulting se especializa en identificar los riesgos relevantes para las aplicaciones y mitigarlos de forma efectiva, implementando prácticas de seguridad en su ciclo de desarrollo e implementación, desde la planificación hasta la puesta en marcha, así como detectar y remediar vulnerabilidades en aplicaciones en etapa de producción.

 

Descrição

Vulnerabilidades en el diseño, implementación, o configuración de los sistemas informáticos en los que se basa la institución financiera, se convierten en pérdidas económicas y de imagen.

En cada fase del ciclo de vida de una aplicación, es posible tomar acciones preventivas, correctivas, mitigadoras, o reparadoras de vulnerabilidades y debilidades que hayan sido, o podrían ser explotadas.

Nuevas aplicaciones pueden ser analizadas en su concepción para que sus funcionalidades sean seguras, sistemas en desarrollo pueden ser analizados tanto en su código fuente como en su comportamiento en un ambiente de test para identificar vulnerabilidades. Aplicaciones en producción pueden ser objeto de un Ethical Hacking, y aquellas a las que se les ha identificado una vulnerabilidad, deben ser remediadas tanto en su código fuente como en su configuración.

La actividad más conocida en seguridad informática es el Ethical Hacking, que consiste en detectar y evaluar los impactos de vulnerabilidades ya instauradas y potencialmente explotables por atacantes. Aunque si se realiza únicamente esta tarea, el enfoque resulta ser ineficaz e ineficiente.

Un enfoque proactivo y distribuido en todo el ciclo de desarrollo de las aplicaciones, asegura menores riesgos (eliminando vulnerabilidades mucho antes de llegar a producción), mitiga la posibilidad de no aceptación de la aplicación por vulnerabilidades críticas, evita re trabajos innecesarios, e instaura capacidades de seguridad en el propio equipo del proyecto.

Las aplicaciones las desarrollan personas, por lo que es importante proveerles herramientas y el conocimiento requerido para identificar si eventualmente pueden estar introduciendo un riesgo de seguridad en su desarrollo. Sin este conocimiento, (que normalmente no es impartido en las carreras técnicas y universitarias de informática), los desarrolladores se enfrentan a desafíos para los cuales no poseen el conocimiento.

Desde GeneXus Consulting, como empresa testigo del uso de la tecnología GeneXus, hemos investigado y desarrollado metodologías y herramientas para capacitar, diseñar, implementar y mitigar vulnerabilidades y riesgos en aplicaciones desarrolladas en GeneXus y en las tecnologías utilizadas (Java, .Net, Javascript, etc).

Contamos con amplia experiencia en seguridad informática y en desarrollo GeneXus, lo que nos permite brindar servicios de excelencia para el ecosistema GeneXus. A su vez, contamos con profundo conocimiento de Bantotal y de integraciones al core bancario, permitiéndonos brindar servicios de seguridad de forma eficaz y eficiente.

Acreditamos una importante experiencia específica en clientes del área financiera, tanto a nivel nacional como internacional, con proyectos de seguridad (análisis de vulnerabilidades, asesorías/consultorías de seguridad, proyectos de Ethical Hacking), así como capacitación en Seguridad al equipo técnico de nuestros clientes, y acompañamiento en la implementación de acciones proactivas durante los ciclos de desarrollo.

Nuestros servicios de Seguridad para el sector financiero, abarcan:

1. Ethical Hacking

El Ethical Hacking tiene como objetivo determinar la existencia de vulnerabilidades explotables que puedan comprometer la disponibilidad, integridad o confidencialidad de la información de una organización.

El servicio consiste en identificar, validar, explotar y utilizar las vulnerabilidades detectadas para determinar el impacto que potencialmente puede sufrir la organización.

Los activos de información objeto del Ethical Hacking son acordados en cada caso en particular, pudiendo ser una subred, una ip, una aplicación web o mobile, o toda la organización en su conjunto. Como entregable de esta tarea, se elabora un informe detallando los hallazgos obtenidos (vulnerabilidades), evidencias de las mismas y alternativas de solución.

2. Diagnóstico de Seguridad de Aplicaciones

En aplicaciones existentes, mediante el análisis de la base de conocimiento GeneXus (KB) y del sistema en ejecución, es posible realizar la detección de las principales vulnerabilidades del sistema, y proponer acciones de mejora.

El diagnóstico realizado es llevado a cabo utilizando herramientas propias y dirigido por un equipo de expertos en seguridad.

3. Ciclo de Desarrollo Seguro

Ofrecemos servicios de seguridad aplicados para cada etapa del ciclo de desarrollo de una aplicación: requerimientos, arquitectura y diseño, desarrollo, test y aplicaciones en producción.

Un enfoque proactivo de este tipo, permite alcanzar mejores niveles de seguridad en las aplicaciones, y por lo tanto reducir riesgos y posibles ataques a los sistemas en producción.

4. Capacitación en Seguridad con GeneXus

El objetivo del curso es concientizar y capacitar en el desarrollo de soluciones con GeneXus, sobre la importancia de la seguridad y técnicas de detección, validación y mitigación de los riesgos potenciales existentes en las aplicaciones Web y SD, así como acompañar a los participantes en la implementación de los conceptos adquiridos, ya que el curso tiene un enfoque teórico – práctico, que, en caso de ser posible, busca trabajar sobre un caso real.

Se enfoca principalmente en personas que trabajan con GeneXus, desde analistas, desarrolladores y testers, hasta gerentes de proyecto que deseen interiorizarse en los principales riesgos de seguridad existentes.

Como referencia y guía del curso se utiliza la última publicación del ranking OWASP Top 10, donde se presentan los riesgos más comunes de las aplicaciones hoy en día.

5. Servicios de Remediación

Identificada una vulnerabilidad producto de un Ethical Hacking o de un ataque, contamos con las capacidades para implementar los cambios necesarios para eliminar o mitigar la vulnerabilidad de forma eficaz y eficiente.

 

Más Información