Deloitte: Scan de sécurité HelloID
¿Por qué confiar la investigación a «hackers éticos» externos?
Tools4ever cuenta con un gran número de expertos en seguridad en sus propias filas. No en vano somos un desarrollador de productos de gestión de acceso e identidad. Naturalmente, también permitimos que nuestros expertos intenten atacar nuestras propias soluciones desde dentro. Sin embargo, creemos que es importante que un socio extairen revise sistemática y críticamente nuestros sistemas.
Con los hackers éticos de Deloitte, hemos apostado por expertos en seguridad independientes y altamente cualificados garantizados. Expertos cuya integridad también está garantizada por Deloitte. Porque, por supuesto, no solo queremos certeza sobre la calidad de las pruebas de seguridad, sino también sobre la confiabilidad de los probadores. Para que usted, como cliente, sepa con seguridad que los resultados de las pruebas no se utilizan de forma indebida.
Alcance de las pruebas de seguridad de HelloID
La encuesta de 6 meses no es un «tigre de papel». Esta no es solo una revisión de escritorio del diseño y las especificaciones de HelloID. La investigación es en realidad sobre los intentos de hackers éticos profesionales de atacar el sistema. Los piratas informáticos éticos están capacitados para mirar los sistemas informáticos a través de los ojos de un ciberdelincuente experimentado y para reconocer las vulnerabilidades que otros pueden estar observando. Entre otras cosas, utilizan las pautas NCSC ICT-B v2 y los 10 principales riesgos de seguridad de aplicaciones de OWASP de 2013 y 2017.
La prueba, naturalmente, incluye pruebas tradicionales de caja negra. Estas pruebas tienen como objetivo penetrar en el sistema y acceder a funciones y datos sin conocer el sistema. Sin embargo, con nuestra prueba de seguridad de aplicaciones, los evaluadores van un paso más allá y realizan las llamadas pruebas de caja gris. Una prueba de caja gris también busca agujeros de seguridad en partes específicas de HelloID, donde los piratas informáticos reciben información sobre el funcionamiento interno del software. Finalmente, se examinan las posibilidades que se ofrecen a los usuarios autorizados dentro del sistema. ¿Pueden hacer más de lo que realmente está planeado? Muy importante, por supuesto, porque sabemos que una gran cantidad de fraudes y delitos cibernéticos ocurren dentro de las propias organizaciones. Entonces, en HelloID, no solo probamos la calidad de la puerta de enlace, sino que también examinamos la seguridad de la aplicación si alguien está legalmente dentro.
Las pruebas mismas cubren la gama completa de posibles vulnerabilidades. Desde notificaciones del sistema potencialmente demasiado detalladas hasta la presencia de vulnerabilidades de secuencias de comandos entre sitios (XSS).
Análisis de riesgos
Cada vulnerabilidad potencial que sale a la luz recibe una calificación de riesgo que nos ayuda a resolver el problema con la prioridad adecuada. Esta calificación de riesgo se deriva de la probabilidad de que se pueda descubrir y explotar una vulnerabilidad potencial, y el impacto si esto realmente ocurre:
- La suerte, por ejemplo, depende de la complejidad de la vulnerabilidad en cuestión.
- El impacto es el alcance del daño potencial que puede causar una vulnerabilidad. Obviamente, hace una gran diferencia, ya sea una interrupción a corto plazo o una violación de datos grave.
Recibimos los riesgos bajos y medios como parte del informe de prueba, después de lo cual nuestros expertos comienzan a trabajar con ellos. Los evaluadores escalan inmediatamente los riesgos altos inesperados, de modo que los expertos de Tools4ever puedan desarrollar e implementar una solución de inmediato. Afortunadamente, tales vulnerabilidades son raras.
Con cada prueba, por supuesto, hay riesgos bajos y medios. La tecnología está en constante evolución, al igual que el conocimiento y las herramientas disponibles para las partes malintencionadas. Esto significa que nunca estamos completamente listos y siempre encontramos cosas que podrían mejorarse aún más. Este es el gran valor añadido de un análisis de seguridad semestral de este tipo. Seguimos atentos y mantenemos actualizado el servicio HelloID en materia de seguridad.
¿Quieres saber más sobre este análisis de seguridad?
No podemos publicar el contenido detallado de nuestros análisis de seguridad. Sin embargo, nuestros clientes todavía ven su efecto en forma de ajustes, mejoras y correcciones de errores en nuestro notas de la versión.
Tools4ever lanza nuevas características y actualizaciones del software HelloID cada mes. ¿Quieres mantenerte informado?
Certificaciones y controles vigentes
Microsoft Gold Partner
Certificat ISO 27001
Deloitte security scan
Obtenga más información sobre la Certificación de Escaneo de Seguridad de Deloitte