Cabecera-v2-web.jpg

Auditoria de Vulnerabilidades de Sistemas Web

El servicio de auditorí­a de vulnerabilidades de Sistemas Web, tiene como objetivo encontrar fallas o debilidades presentes en una aplicación web del Estado Paraguayo, de modo a que puedan ser corregidas y/o mitigadas. Se trata de un servicio bajo demanda, especialmente para desarrollos a medida en el ambiente web, buscando minimizar las vulnerabilidades expuestas en sistemas gubernamentales y aumentar los niveles de seguridad de los mismos.

Alcance

Este servicio se brinda exclusivamente a organismos y entidades del Estado (OEE) paraguayo.

Se encuentra limitado a sistemas basados en tecnologí­a web. Actualmente no se incluyen auditorias de software de escritorio, ni aplicaciones móviles.

El servicio de auditorí­a de vulnerabilidades web puede ser solicitado por las Organizaciones del Estado Paraguayo (OEE) para la auditoria de sus sistemas, ya sea desarrollados internamente o tercerizados.

Este servicio solo aplica a:

  • Aplicaciones web nuevas, antes de que entren a producción
  • Aplicaciones web existentes que todaví­a no hayan sido auditadas

No se realiza una prueba de penetración, limitando la auditoria a identificar una vulnerabilidad y probarla mí­nimamente para descartar falso positiva (prueba de concepto), sin llegar a explotarla para realizar un daño.

No se realizarán pruebas de funcionalidad, usabilidad ni rendimiento. En general, no se realizarán pruebas de denegación de servicio, a excepción de técnicas especí­ficas de servidores web (ej.: SlowHTTP), las cuales deberán ser solicitadas explí­citamente a la hora de solicitar el servicio.

Tipo de Servicio

El servicio de auditorí­as de vulnerabilidades de sistemas web se dividen en los siguientes tipos:

- Prueba externa: se trata de una auditorí­a en la que se busca las vulnerabilidades desde el punto de vista de un atacante externo. Las pruebas externas, a su vez, se dividen en dos tipos:

  • Blackbox
  • Greybox

- Verificación de cumplimiento de criterios de seguridad del software

Servicios-VTIC-Pasos-para-solicitar.png
boton_servicios-Solicitar-servicio.png

Este servicio esta disponible únicamente para Organismos y Entidades del Estado, y pueden ser solicitados solamente mediante los Responsables de Seguridad designados oficialmente.
pie.png

CERT-PY | Centro de Respuestas a Incidentes Cibernéticos
Ministerio de Tecnologí­as de la Información y Comunicación (MITIC)

Avda. Gral. Santos c/ Concordia | Telefono: (595 21) 217-9000
República del Paraguay

80x15.png

Versión del Template 1.11