Nuestros Servicios
En SISTEMAS APLICATIVOS queremos ayudar a nuestros clientes a maximizar las ventajas que las tecnologías de la información pueden brindarles, optimizando sus inversiones en TI por la vía de la realización de proyectos de implantación óptimos y servicios de mantenimiento de calidad. Nuestra especialización gira alrededor de servicios para ayudar a las organizaciones a estar SEGURAS.
Podemos combinar cualquiera de nuestros productos y servicios para crear un paquete que esté hecho justo a la medida para su negocio. Esto elimina la complejidad y el costo innecesario de llevarlo a donde quiere llegar, cualquiera que sea su punto de partida.
Nuestros Servicios
En SISTEMAS APLICATIVOS queremos ayudar a nuestros clientes a maximizar las ventajas que las tecnologías de la información pueden brindarles, optimizando sus inversiones en TI por la vía de la realización de proyectos de implantación óptimos y servicios de mantenimiento de calidad. Nuestra especialización gira alrededor de servicios para ayudar a las organizaciones a estar SEGURAS.
Podemos combinar cualquiera de nuestros productos y servicios para crear un paquete que esté hecho justo a la medida para su negocio. Esto elimina la complejidad y el costo innecesario de llevarlo a donde quiere llegar, cualquiera que sea su punto de partida.
Departamento de Arquitectura
Arquitectura
En el departamento de arquitectura de SISAP contamos con un equipo de ingenieros que asesoran y toman decisiones. Cuyo principal objetivo es asesorar a nuestro departamento de ventas y a nuestros clientes a encontrar las mejores soluciones con las mejores tecnologías y consultorías proporcionadas por SISAP.
Este departamento se encarga de realizar el diseño de arquitectura de red, las evaluaciones de viabilidad, los requisitos de modelado y la traducción de los requisitos y objetivos en el diseño de producto final, incluyendo la capacidad de presentar múltiples opciones de implementación.
Nuestra experiencia en proyectos de desarrollo de redes complejas combinados con nuestra sólida experiencia en seguridad de TI son los recursos que tenemos disponibles para ayudar a nuestros clientes.
Capacitación y Concientización
Capacitaciones
Creemos firmemente que la capacitación es insustituible como base para prestar servicios de alta gama. Nuestra división de Capacitación coordina educadores especialistas para mantener a nuestro equipo de trabajo y a nuestros clientes con los conocimientos y prácticas necesarios para el óptimo desempeño de sus funciones.
Introduction to Security for Information Technologies
El curso An Introduction to security for information technologies –ISIT- ha sido elaborado por profesionales certificados en el área de seguridad de la información y con amplia experiencia proveyendo servicios de consultoría, arquitectura en diseño de soluciones e implementación de productos y soluciones de seguridad de la información.
ISIT es producto de la experiencia que hemos obtenido con clientes a nivel mundial, por lo cual el conocimiento adquirido es utilizable en medianas y grandes empresas de diferentes sectores como banca, telecomunicaciones, gobierno, etc.
El contenido del curso cubre todas las áreas para que el participante adquiera el conocimiento necesario para elaborar una estrategia e implementar medidas de seguridad de la información dentro de su organización.
CISSP
CISSP (Certified Information Systems Security Professional) es una certificación profesional de alto nivel otorgada por (ISC)2®, considerada como la más importante en el campo de la seguridad de la información. Reconocer a los profesionales con formación en el área de seguridad de la información, y proporciona cierto nivel de competencia independiente y objetiva.
CCSP
CCSP (Certified Cloud Security Professional) Ofrece una capacitación para formar profesionales competentes y experimentados con conocimientos y habilidades correctas en seguridad en la nube para tener éxito. Esta certificación está respaldada por dos organizaciones líderes centradas en seguridad de la nube y de la información CSA e ISC2.
ISO 27001:2013
ISO 27001:2013, permine desarrollar habilidades necesarias para diseñar, implementar y administrar de manera efectiva el Sitema de Gestión de Seguridad de la Información. Así como dominar las mejores prácticas para implementar y auditar controles de seguridad de la información aplicando la norma ISO 27002:2012.
ISO 22301:2012
ISO 22301:2012, permite a los participantes desarrollar las habiliddes necesarias para auditar Sistemas de Gestión de Continuidad del Negocio, y dirigir equipos mediante la aplicación de principios, prácticas, técnicas y procedimientos de auditoria de clase mundial.
ISO 31000
ISO 31000, desarrolla los principios, marcos de referencia y rpocesos de riesgo mediante ejemplos prácticos y desarrollo de talleres que reflejan situaciones reales vividas en las empresas. Nuestros instructores altamente calificados poseen vasta experiencia tanto como implementadores y audtiores en reconocidas empresas internacionales.
ISO 27005
ISO 27005, permite a los participantes desarrollar las competencias necesarias para dominar los elemnetos básicos de gestión de riesgos relacionados con los activos de relevancia para la seguridad de la información usando el stándar ISO/IEC 27005:2008 como marco de referencia.
ITIL
ITIL Fundamentos, tiene como propósito el certificar que el participante ha adquirido un conocimiento fundamental de ITIL® en lo referente a su terminología, estructura y conceptos básicos y ha comprendido los principios centrales de las prácticas de ITIL® para la Gestión de Servicios, tal y como se documenta en los libros centrales del Ciclo de Vida del Servicio de ITIL®, publicados por TSO (The Stationery Office), editorial oficial de CO (Cabinet Office) del gobierno del Reino Unido.
COBIT 2019 Fundamentos
El curso muesta los conceptos, modelos y definiciones clave del marco de trabajo de COBIT. Durante el curso se presenta el marco de referencia, el cual es el más utilizado a nivel mundial para auditoría, control y gobierno TI.
Es una guía para realizar el examen de fundamentos.
Business Impact Analysis -BIA-
El curso enseña a los participantes sobre los conceptos y técnicas para el desarrollo de un BIA que les permita conocer las actividades críticas de su organización y su impacto en caso de falla. Los participantes conocerán el proceso y los elementos principales para el desarrollo de un BIA, que es la base para un plan de Continuidad de Negocio y de Recuperación de Desastres de cualquier organización.
Gestión de Proyectos
Principios y prácticas para la gestión de proyectos proporciona al participante los conocimientos esenciales acerca del flujo formal de administración de proyectos para que logre una comprensión integral del proceso y de su potencial aplicación en su organización.
Gestión de Proyectos – PMP Bootcamp
El curso de 5 días de duración, cuenta con un programa de inmersión total. Está diseñado en base a técnicas de aprendizaje acelerado, lo cual permite una retención a largo plazo de todos los conceptos incluidos en la currículo necesaria para presentar y aprobar el examen correspondiente. Cubre todas las áreas de conocimiento del PMBOK® Guide.
Gestión de Proyectos – PMI
Estándares y buenas prácticas en Administración de proyectos con enfoque PMI Este curso estudia el contexto de la Administración Moderna de Proyectos o “Framework”, (definiciones, nomenclatura y entorno) y el cuerpo de conocimientos en administración de proyectos del PMI®, los cuales representan un conjunto de buenas prácticas a nivel internacional.
Preparación para Certified Information System Auditor -CISA-
Principios y prácticas para la gestión de proyectos proporciona al participante los conocimientos esenciales acerca del flujo formal de administración de proyectos para que logre una comprensión integral del proceso y de su potencial aplicación en su organización.
Análisis de Redes Inalámbricas
Este taller fue creado para identificar y crear conciencia, de los riesgos a las que las redes inalámbricas corporativas actuales se encuentran expuestas. El curso se realiza mediante un enfoque práctico y utilizando herramientas especializadas.
Desarrollo Seguro de Aplicaciones
Este curso taller presenta los aspectos de seguridad en las diferentes etapas del ciclo de vida de desarrollo de software, alineadas a las buenas prácticas de industria. Señala las debilidades más comunes de las aplicaciones y los fundamentos de un desarrollo seguro para identificar las diferentes vulnerabilidades a las que están expuestas. Y Prove ejercicios prácticos de evaluación de vulnerabilidades en las diferentes fases del ciclo de vida de desarrollo.
OWASP TOP 10
OWASP TOP 10 El curso está planificado para aprender de las vulnerabilidades listadas en el OWASP TOP 10 y como mitigarlas. Adicionalmente, el curso incluye los 10 controles proactivos que se pueden aplicar para reducir el riesgo en las aplicaciones web.
Al finalizar el curso, los participantes serán capaces de:
• Nombrar y entender el OWASP TOP 10.
• Mitigaciones para las vulnerabilidades del OWASP TOP 10.
• Nombrar y entender los 10 controles proactivos y como aplicarlos.
CERT
SISAP CERT es patrocinado, autorizado y opera bajo la cobertura de Sistemas Aplicativos, S.A. SISAP CERT esta afiliado a otros CERTs y CSIRTs que compartan nuestros valores, misión y visión, con el objetivo de compartir información anonimizada de amenazas, incidentes, brechas y fraudes que utilizan tecnología digital, regionales y mundiales y así, mejorar la postura de ciber seguridad de nuestra circuscripción.
CERT
SISAP CERT es patrocinado, autorizado y opera bajo la cobertura de Sistemas Aplicativos, S.A. SISAP CERT esta afiliado a otros CERTs y CSIRTs que compartan nuestros valores, misión y visión, con el objetivo de compartir información anonimizada de amenazas, incidentes, brechas y fraudes que utilizan tecnología digital, regionales y mundiales y así, mejorar la postura de ciber seguridad de nuestra circuscripción.
- SOC – security operations center
- THI – threat intelligence
- RIF – forensics and incident response
Servicios profesionales
Consultoría
A través del departamento de consultoría en seguridad de la información nos centramos en los problemas y oportunidades más importantes de nuestros clientes, y establecemos su posición en la gestión de la seguridad de la información, planes de acción, cumplimiento con normas locales e internacionales, alineación y auditorías de organizaciones de todo tipo y geografías. Hemos demostrado un efecto multiplicador en nuestro aporte a la seguridad de la información a través de la organización.
Nuestros consultores combinan conocimientos funcionales profundos con experiencia práctica de primera línea para ofrecer a nuestros clientes servicios de consultoría que impulsan impacto real y resultados tangibles. Certificaciones CISSP, CISA, CISM, ISO 27000, PCI-QSA, entre otras, y capacitación constante, distingue nuestra práctica de consultoría.
Pruebas de penetración
En este servicio nos ponemos el sombrero de atacante haciendo una rigurosa prueba sobre los sistemas. El objetivo es identificar si existen debilidades importantes que podrían llevar a que un hacker pudiera comprometer los sistemas en cualquiera de sus pilares de confidencialidad, integridad o disponibilidad.
La prueba de penetración puede ser realizado desde el punto de vista externo (un atacante desde Internet) o interno (un usuario en la red). Adicional, tenemos analistas especializados en evaluaciones SWIFT y PCI, para apoyar iniciativas de cumplimiento o auditoría.
Ingeniería social
Las personas son uno de los elementos preferidos por los atacantes para ejercer actividades con fines maliciosos. El objetivo de los servicios de Ingeniería Social es poner a prueba a los usuarios para identificar si podrían ser blanco de ataque para lograr compromisos internos en la organización. Validando así si es necesario realizar mayores esfuerzos de concientización o si los actuales han sido efectivos.
Las pruebas pueden ser realizadas por correo electrónico (phishing), llamadas telefónicas (vishing) y por medio de dispositivos USB liberados aleatoriamente en las instalaciones.
Evaluación de aplicaciones
Las aplicaciones web y móviles son la ventana que usan los clientes para interactuar con las empresas, y por ello, deben de no solo ser efectivas y eficientes, sino que también seguras en todo momento. El objetivo del servicio es poner a prueba las aplicaciones de la organización desde el punto de vista de seguridad, tratando de identificar debilidades que podrían llevar a un atacante a comprometer el sistema.
Una aplicación puede ser evaluada sea desde una plataforma web o móvil. Adicional, se realizan evaluaciones de código estático mediante el apoyo de partners especializados en este tipo de análisis.
Gestión de vulnerabilidades
Todo sistema informático se encuentra en constante cambio, conforme nuevas características son agregadas a estos o nuevas vulnerabilidades se identifican. Conocer en todo momento si algún equipo posee un problema conocido, una configuración débil o software fuera de soporte es esencial como primer paso para manejar el riesgo informático.
Los servicios de gestión de vulnerabilidades pueden incluir desde realizar un escaneo general de la organización para identificar todo problema en los sistemas hasta el contar con un programa de gestión, asesorado por SISAP, para mantener al mínimo la exposición por vulnerabilidades en los sistemas informáticos.
Password Cracking
Una contraseña puede ser la única barrera que protege una aplicación o un sistema y, por lo tanto, el sistema está tan resguardado de atacantes en proporción a la robustez de esta contraseña. Con el servicio de Password Cracking se ponen a prueba las credenciales de dominio Windows para identificar si existen algunas que pueden ser relativamente fáciles de deducir, siguen patrones comunes o han sido comprometidas.
Para este servicio se toman las credenciales en su formato no reversible (hash) y se prueban con esquemas de fuerza bruta sobre equipo especializado.
ISO 27000
Servicio diseñado para la correcta implemetacion de un sistema de Gestión de Seguridad de la Información (SGSI) basado en el estandar ISO/IEC 27001.
Durante el proceso un consultor experto en seguridad de la información realizara el levantamiento de información para evaluar los controles e identificar el estado de madurez con base en el cual se realizaran las recomendaciones necesarias para reducir la brecha identificada.
PCI DSS
El estándar PCI DSS establece los requisitos operativos y técnicos para las organizaciones que procesan, almacenan y trasmiten datos de tarjetas de pago. Sistemas Aplicativos S.A (SISAP) ha sido QSA Company durante varios años, lo cual nos acredita como una empresa calificada para apoyar en evaluaciones relativas al cumplimiento del estándar PCI-DSS.
Este servicio nos permite apoyar a nuestros clientes durante todo el proceso definición, implementación y auditoría para lograr el cumplimiento con el estándar PCI DSS.
PESI
Ayudar a las empresas a establecer su Plan Estratégico de Seguridad de la Información(PESI). En el mismo se evalúan 16 dominios de seguridad de la información mediante sesiones de trabajo tipo entrevista lideradas por consultores expertos. El resultado final del PESI es un informe mostrando los riesgos que presenta la organización y un plan que especifica los diferentes proyectos sugeridos a corto, mediano y largo plazo los cuales le permitirán mejorar su postura de seguridad.
Análisis de Riesgo
Gestionar la seguridad puede llegar a ser muy complejo, inclusive para profesionales muy preparados, es muy fácil caer en un mal dimensionamiento que puede derivar en la implementación de componentes de seguridad que no son los más adecuados, gastando recursos en mecanismos que no arrojan los resultados esperados.
Durante este análisis se identifican los servicios y se descubren las amenazas que los ponen en riesgo. Se estiman los posibles daños y potenciales y pérdidas que la empresa podría enfrentar. El análisis de riesgo ayuda a las empresas a priorizar sus riesgos y gestionar adecuadamente los recursos que deberían ser empleados para atacar los mismos de una manera más efectiva y razonable.
Clasificación de la Información
No es posible proteger toda la data que está esparcida a través de una organización. Es necesario enfocarse en los activos que generan valor para el negocio. Un proceso de clasificación de la información lo ayuda en este fin, apoyando a determinar a qué área pertenece cada activo de información, mostrando cuáles son los más sensitivos y vitales para su organización.
Al final la clasificación de la información le apoya identificando lo controles adecuados segun el nivel de clasificación, siendo la clave para poder hacer un uso eficiente de los sistema de Prevención de Pérdidas de Datos (DLP) apoyando así en el cumplimiento de la Política de Seguridad.
Guías de Hardening
El endurecimiento de un sistema, reduciendo sus vulnerabilidades es un proceso clave para reducir los riesgos a los que se puede ver expuesta una organización. Para realizar este proceso nos basamos en las guías generadas por organizaciones de gran trayectoria en la seguridad de la información tales como NIST, CIS y SANS.
Cumplimiento de Leyes y Regulaciones
El conocimiento de las leyes y regulaciones que se han ido creando en el mundo y en la región para atacar los delitos informáticos son de gran importancia actualmente. Las mismas incentivan y en cierta medida obligan a las organizaciones a su cumplimiento. SISAP, como empresa experta en Seguridad de Información ofrece el servicio para apoyar a las empresas a lograr el cumplimiento con dichas regulaciones.
CISO as a service
Los obstáculos y los riesgos de seguridad que las organizaciones afrontan se resuelven con la misma velocidad con los que surgen nuevos y más complejos. El CISO tiene bajo su responsabilidad proteger el negocio del impacto de esos riesgos. Durante este servicio se ofrece a las empresas un experto que da asesoría continúa en tema de seguridad, tal como lo haría un CISO. Lo anterior brindará a las organizaciones un rol que tendrá la responsabilidad de ejecutar tareas de gestión, supervisión, estrategia y recomendaciones con respecto a la seguridad de la información.
Políticas y Procedimientos
Servicio orientado a estudiar los procesos y servicios críticos de su organización, al mismo tiempo que se analizan las políticas y procesos actuales para luego proceder a redactar documentos que contemplen los controles requeridos que permitan atender las necesidades asociadas a la protección de la información.
Políticas y procedimiento bien escritos e implementados contienen suficiente información sobre lo que debe de hacerse para proteger tanto la información como a las personas en la organización.
BCP & DRP
El objetivo de un plan de recuperación ante desastres (DRP) es manejar el desastre y sus ramificaciones justo después de que ocurra; este suele estar muy centrado en la tecnología de la información. Por su parte un plan de continuidad de negocios (BCP) adopta un enfoque más amplio del problema, lo cual incluye llevar sistemas críticos a otro entorno mientras se realiza la reparación de las instalaciones originales, llevar a las personas adecuadas a los lugares correctos y realizar negocios en un modo diferente hasta que las condiciones normales vuelvan a su lugar.
El servicio está orientado a apoyar a las empresas en la elaboración de su BCP y DRP basados en las metodologías del Disastre Recovery Institute (DRI) y Business Continuity Institute (BCI).
ITIL/ISO 20000
Servicio orientado para apoyar a la empresa en la evaluación de la Gestión de Servicios de Tecnología de Información basado en estandar ISO 20000 y/o ITIL.
Durante el proceso un consultor realizará el levantamiento de información para evaluar los controles e identificar el estado de madurez realizando la recomendaciones necesarias para reducir la brecha identificada.
X-Analytics
X-Analytics es un modelo de cuantificación de cyber riesgo patentado. Está orientado a organizaciones que buscan una simplificación en la gestión del cyber riesgo. X-Analytics provee una comprensión del riesgo y una guía continua hacia acciones que reducen la exposición al cyber riesgo.
Durante la fase de procesamiento, se analiza la exposición al riesgo de la organización, el impacto, las amenazas y los controles implementados. Los datos de control se procesan mediante aproximandamente 70,00 cálculos de X-Analytics, para permitir a su organización evaluar su postura de cyber seguridad a través de una traducción del riesgo a términos económicos.
SWIFT CSP Validation
SWIFT Customer Security Controls (CSP), es un marco de referencia creado por SWIFT para fortalecer la seguridad de sus clientes. SWIFT CSP Validation es un servicio de validación de los controles CSP por parte de SISAP. SISAP integra el conocimiento de SWIFT con la experiencia en seguridad, para poder brindar una validación completa, profunda y rápida de los controles mandatorios y recomendados por SWIFT.
• Obtenga una validación de independiente.
• Comprenda la postura de seguridad de su zona segura contra SWIFT CSP.
• Valide la definición de su zona segura.
• Verifique la validez de su KYC actual.
• Obtenga recomendaciones de expertos en CSP.
Ingeniería y Soporte
Ingeniería
Tenemos un departamento de Ingeniería regional, con personal capacitado y certificado en distintas tecnologías de seguridad; para el análisis, diseño e implementación de soluciones aplicadas a los distintos requerimientos y necesidades de nuestros clientes y prospectos.
Nuestros ingenieros cumplen con las certificaciones y entrenamiento necesario para dar soporte a solicitudes e incidentes, en las distintas tecnologías y software que son representadas por SISAP.
Este soporte puede ser otorgado de forma remota o presencial, contando a la vez con capacidad de servicio de 24X7, según la necesidad del cliente.
Subcontratación
Outsourcing
Adoptamos completamente la identidad de la compañía que nos contrata, calidad de servicio y sus estándares. Ocupamos un lugar en su organigrama, poseemos correo electrónico de la compañía que representamos y acceso a todos sus laboratorios de pruebas.
Consultorías, implementaciones, soporte, entrenamientos y todas las demás tareas se ejecutan representando en todo momento a nuestros clientes.
Project management office
PMO
El equipo de PMO es el encargado de centralizar, coordinar y optimizar la gestión de proyectos a través de aplicación de conocimientos especializados en el área a través de un equipo multidisciplinario y capacitado, con habilidad y experiencia en la aplicación de las técnicas y mejores prácticas en la materia coadyuvado por las herramientas idóneas para estructurar las actividades que llevaran al proyecto a cumplir sus objetivos y alcance establecido.
PM as a service
Nuestro servicio inicia con el apoyo a los involucrados para definir el objetivo del proyecto. Muchas veces el proyecto tiene un objetivo principal y varios objetivos secundarios, no menos importantes pero sí más específicos. La definición del alcance es una de las tareas más delicadas de cualquier proyecto, porque es donde se deben definir límites y restricciones y muchas veces no están claras. Además se definen los entregables, las condiciones de entrega y recepción de los mismos y las revisiones que se le efectuaran para que puedan ser aceptados.
Desde esta fase los servicios del PM ayudan a identificar los riesgos y el nivel de impacto que tienen en el proyecto, así como el establecimiento de planes de mitigación de los mismos. Nuestros servicios incluyen dar seguimiento a las fechas de los entregables y llevar el control de los que se llevan a cabo, documentar todos los cambios, hacer línea de tiempo, validación de los entregables y de las evidencias de su entrega, para un exitoso cierre del proyecto.
Verizon
El Cyber Risk Program (CRP) para América Latina está diseñado para proveer una revisión objetiva de las habilidades de su organización, para prepararse, reconocer y responder a las amenazas de hoy. El CRP proporciona una revisión objetiva de la capacidad de su empresa para prepararse, reconocer y responder a las amenazas, y crear un plan que priorice los desafíos clave.
El programa consiste en una serie de actividades recurrentes diseñadas para medir la efectividad de los controles contra el cyber riesgo e identificar potenciales debilidades.
El Data Breach Investigations Report de Verizon (DBIR), sienta las bases para la creación del Cyber Risk Program. El Cyber Risk Program utiliza los escenarios de amenazas y los patrones de ataque identificados en el DBIR para apoyar en la creación de calificaciones de riesgo. Dichas calificaciones o niveles de riesgo pueden ser utilizadas por los clientes para mejorar su postura de seguridad.
El DBIR utiliza como insumo, información de incidentes de seguridad reportados de forma anónima. El Cyber Risk Program, a su vez, ayuda a las organizaciones a comprender de una mejor forma cada escenario de incidentes permitiéndoles tomar decisiones de cyber riesgo más precisas.
Risk Rating
El servicio Cyber Risk Program – Risk Rating proporciona:
• Revisiones de los controles de seguridad externos contra las amenazas más comunes.
• Un diagnósitco de cyber seguridad trimestralmente.
• Orientación sobre cómo reducir el riesgo cibernético, incluyendo referencias a patrones de ataque estudiados en el DBIR de Verizon.
• Permite realizar comparativos contra la industria.
El Cyber Risk Program – Risk Rating consiste en un análisis crítico, la estructura VERIS/DBIR de Verizon, y 4 actividades para la medición del cyber riesgo:
• External Vulnerability Assessment.
• IP Reputational Assessment.
• NetFlow Assessment.
• Web Application Assessment.
Risk Assessment
El Cyber Risk Program – Risk Assessment es un servicio anual diseñado para:
• Brindar revisiones de la efectividad de controles en la seguridad interna y del perímetro.
• Producir indicadores de cyber riesgo en informes trimestrales.
• Proveer recomendaciones que apoyan a la reducción de riesgo.
• Permitir comparativos con los controles implementados contra distintos frameworks de controles y empresas similares a la suya.
El Risk Assessment consiste en un análisis crítico de la seguridad, con el apoyo de la estructura del Data Breach Investigation Report de Verizon, y 12 actividades recurrentes. Las actividades son ejecutadas periódicamente a lo largo de cada año de servicio, con el objetivo de medir continuamente factores de cyber riesgo. Las actividades incluida son:
• External Vulnerability Assessment.
• IP Reputational Assessment.
• NetFlow Assessment.
• Web Application Assessment.
• Internal Vulnerability Assessment.
• Email Filter Check.
• Firewall Assessment.
• End Point Assessment.
• Phishing Assessment.
• Wireless Assessment.
• Physical Inspection.
• Policy, Process, and Procedure Assessment.