Preguntas más frecuentes

Ventas

Hemos decidido hacer uso de Foundstone. ¿Cuáles son los primeros pasos?
Valoramos que confíe en nosotros y estamos deseando empezar, pero primero hay que hacer algunas cosas importantes antes de iniciar las pruebas. Ante todo, hay que cumplimentar todo el papeleo legal antes de que podamos programar una fecha para realizar las pruebas. Normalmente, el papeleo consta de un contrato de servicio (condiciones), una declaración de trabajo y, posiblemente, una orden de compra, si su departamento de compras lo requiere.

¿Cuál es la mejor forma de ponerse en contacto con Foundstone?
Póngase en contacto con Foundstone de la forma que más le convenga. Se puede dirigir a nuestro personal de ventas en el teléfono 949-297-5600; por correo electrónico en la dirección consulting@foundstone.com; o a través de nuestro sitio web.

¿Es posible revisar el ámbito del trabajo? Si es así, ¿cómo?
Sí. El ámbito se puede revisar fácilmente: sólo tiene que hablar con su gestor de cuenta. Normalmente, la definición del ámbito del proyecto se hace antes de la declaración de trabajo, pero también se puede crear un anexo a la declaración de trabajo existente.

Inauguración

¿Cuándo debe tener lugar la inauguración?
Foundstone realiza una visita de inauguración al menos una semana antes de la fecha de inicio del contrato. Esto le proporciona tiempo suficiente para organizar cualquier detalle logístico y técnico que pueda ser necesario para un buen comienzo de la evaluación.

¿Quién debe participar en la visita de inauguración y a quién debo informar de este trabajo?
Exactamente quién debe asistir a la reunión de inauguración y a quién hay que informar acerca del proyecto dependerá de los objetivos globales de la evaluación y de cómo realicemos la prueba. Algunos clientes nos piden que veamos si su equipo operativo está al tanto mientras evaluamos su red, otros desean asegurarse de que los sistemas de preproducción están a salvo antes del despliegue y otros solicitan una prueba de su entorno de producción. En general, le recomendamos que informe de este proyecto a sus colegas lo antes posible y les ofrezca una explicación completa y detallada del trabajo. Si se obtiene el acuerdo al principio, se evitarán objeciones inesperadas cerca de las fechas de las pruebas, lo que podría producir demoras. Recomendamos que se plantee notificar lo siguiente:

  • El principal punto de contacto o responsable del proyecto
  • Un representante de las operaciones de red
  • Un representante de desarrollo de aplicaciones, en el caso de que esta evaluación incluya pruebas de aplicaciones
  • Un representante de seguridad de la información
  • Un representante de los propietarios de los sistemas
  • Un miembro del equipo de auditoría, en el caso de que este proyecto sea un requisito de auditoría
  • La organización de alojamiento, en el caso de que la red o aplicación en cuestión esté alojada por un tercero

¿Quién realiza el trabajo y cómo gestiona Foundstone sus proyectos?
Todas las pruebas técnicas son realizadas por asesores de seguridad de Foundstone. Todos son empleados a tiempo completo, están avalados y sus antecedentes han sido objeto de exhaustivas investigaciones. No utilizamos contratistas.

Cada contrato tiene un equipo de proyecto. Es posible que usted no interactúe con todos los miembros del equipo, pero cada uno de ellos desempeña un papel fundamental en el éxito de su contrato. Los equipos típicos incluyen:

  • Asesores técnicos responsables del trabajo de pruebas cotidiano. Se encargan del trabajo más pesado.
  • Un responsable de proyecto que es su principal punto de contacto y que se encarga de dirigir su proyecto. A cada proyecto se le asigna un responsable de proyecto que se encarga de la visita de inauguración, de las actualizaciones diarias y de los materiales. Su responsable de proyecto colaborará con usted para resolver cualquier problema.
  • Un director regional, responsable del aseguramiento de la calidad y de aprobar todos los informes definitivos.Los responsables de proyecto rinden cuentas a los directores regionales. Los directores representan un punto de escalado dentro de Foundstone en el caso de problemas que no pueda resolver el responsable del proyecto.

¿Cómo puedo ponerme en contacto con Foundstone para plantear preguntas o dudas?
El equipo de Foundstone proporcionará información de contacto detallada de todos los miembros del equipo que participen en esta evaluación. En la mayoría de los casos, el responsable del proyecto podrá ayudarle con todas las preguntas, pero también recibirá información de contacto del director regional y del gestor de cuenta por si fuera necesario escalar cualquier problema. Esta información de contacto se envía junto con la lista de comprobación previa al contrato.

¿Puedo solicitar asesores específicos para este trabajo?
Si hay asesores concretos con los que le gustaría trabajar, háganoslo saber lo antes posible. Si el asesor no tiene un compromiso anterior, estudiaremos su solicitud. Tenga por seguro que estamos tan comprometidos como usted mismo con el éxito de su proyecto, por lo que siempre dotaremos el contrato de los asesores adecuados para conseguir los objetivos del proyecto. Además, una parte esencial del éxito de Foundstone reside en el uso de metodologías comprobadas que nos permiten obtener resultados homogéneos de cualquiera de nuestros asesores.

¿Qué información necesita Foundstone para empezar las pruebas?
Por lo general, necesitamos de usted dos tipos de información: logística y técnica.

  • Logística: completaremos una lista de comprobación previa al contrato en la reunión de inauguración que mantengamos. Ésta incluye datos de contacto, planes de viajes, procedimientos de escalado y otra información.
  • Técnica: las necesidades exactas varían en función del tipo de evaluación, pero suelen incluir las direcciones IP o de aplicación a evaluar, directivas por escrito y otros requisitos. El responsable del proyecto de Foundstone proporcionará una lista detallada de los requisitos antes de la reunión de inauguración.

¿Podrá Foundstone abordar cualquier preocupación específica que podamos tener?
Desde luego. Si existe cualquier área de la evaluación en la que esté especialmente interesado, póngalo en conocimiento del responsable del proyecto y haremos todo lo posible por abordar estas cuestiones. Ésta es la primera pregunta que hará el responsable del proyecto de Foundstone en la reunión de inauguración.

Ejecución

¿Qué nivel de visibilidad tendremos del proceso de evaluación?
Durante la reunión de inauguración, el responsable del proyecto detallará los diversos pasos que intervienen en el proceso de evaluación. Además, las actualizaciones diarias incluirán detalles de las actividades realizadas durante el día y de los planes para el día siguiente. Al final del proyecto, el informe técnico facilita detalles sobre la metodología empleada para llevar a cabo el contrato, así como notas sobre las pruebas. Si necesita más detalles, o si desea “acompañar” durante el contrato, informe al responsable del proyecto antes o durante la reunión de inauguración. Nos complace trabajar con usted para satisfacer sus peticiones, y sus preguntas son siempre bien recibidas.

¿Qué ocurre si mi infraestructura no está preparada o no funciona en la fecha de la prueba?
Cuando programamos un contrato, trabajamos con usted para ayudarle a comprender los requisitos para obtener buenos resultados. Esto incluye los elementos técnicos y logísticos ya indicados. Si estos elementos no están disponibles o el sistema no funciona el día que comienza la prueba, por regla general no podremos seguir adelante. Debe comprobar sus condiciones específicas. Normalmente, esto conllevará una penalización económica y su contrato volverá a entrar en la fase de programación y puede sufrir retrasos. Es responsabilidad suya asegurarse de que se han completado los elementos solicitados en la lista de comprobación previa al contrato; de lo contrario, Foundstone no programará el inicio de su proyecto.

¿A qué hora del día se realizarán las pruebas?
Normalmente realizamos la mayor parte de la prueba en el horario laboral normal de su localidad. Esto nos permite comunicarnos inmediatamente con usted si se identifica cualquier asunto de alto riesgo. Utilizamos algunas herramientas de análisis automatizadas que llevan bastante tiempo, por lo que se suelen ejecutar durante la noche. Podemos acceder a distancia a cualquiera de nuestros servidores de evaluación, de modo que estamos en condiciones de suspender un análisis inmediatamente si es necesario. También podemos programar muchas de nuestras herramientas de análisis para que sólo se ejecuten dentro de determinados intervalos de tiempo, si es necesario. Podemos ajustar los tiempos, pero tenga en cuenta que unos intervalos excesivamente restrictivos limitarán la eficacia de nuestras herramientas y los resultados que podamos proporcionar dentro del periodo de evaluación. Si sus pruebas requieren que se trabaje fuera del horario normal, debe informar al responsable del proyecto lo antes posible y antes de la visita de inauguración.

Si Foundstone logra acceder, ¿intentará aprovechar dicho acceso para poner en peligro otros sistemas?
Si obtenemos acceso a un sistema, detendremos esa línea de pruebas y haremos una captura de pantalla para ilustrar el nivel de acceso obtenido. Le facilitaremos esa información y colaboraremos con usted para determinar si desea o no realizar pruebas adicionales para aclarar el riesgo planteado para su organización.

¿Cuánto tiempo tardaré en ver los resultados después de la evaluación?
Proporcionamos actualizaciones diarias a lo largo del periodo de evaluación, con un documento de resultados preliminares que detalla los problemas identificados hasta la fecha. Estos resultados están en el mismo formato que se facilita en la sección técnica de nuestro informe, de modo que verá los resultados casi exactamente igual a como se entregarán en el informe final. Además, si se encuentra cualquier asunto de alto riesgo que pueda permitir a un atacante obtener acceso no autorizado a un sistema o a datos confidenciales, estos resultados se le facilitarán inmediatamente sin esperar hasta la siguiente actualización diaria. Una vez concluida la prueba, solemos entregar un borrador de informe en el plazo de cinco días laborables.

¿En qué consiste el material final a entregar?
El material final a entregar estándar es el informe técnico, que incluye un resumen ejecutivo y los datos sin procesar recogidos durante el proyecto. Compruebe si su declaración de trabajo incluye cualquier material adicional, como una presentación técnica, una presentación ejecutiva o una declaración de certificación. Además, podemos entregar informes personalizados, como por ejemplo un archivo con separación por comas que contenga los resultados.

¿Qué puedo esperar del informe?
El informe técnico facilita detalles sobre el proyecto, como ámbito de la evaluación, aspectos positivos identificados, vulnerabilidades identificadas, recomendaciones tácticas y estratégicas para ayudar a corregir las vulnerabilidades, notas detalladas recopiladas durante el contrato y metodología seguida para realizar la evaluación.

El resumen contiene una visión de alto nivel del proyecto que incluye una breve declaración del ámbito del proyecto, una visión general de los resultados, un conjunto de recomendaciones estratégicas y un informe de seguridad para las áreas evaluadas en el que se compara su organización con los promedios del sector.

Si tiene otros requisitos en relación con los informes, comuníquelo al responsable del proyecto antes o durante la reunión de inauguración. Podemos satisfacer la mayoría de las peticiones si se realizan antes de que empecemos la evaluación.

¿Tendré oportunidad de revisar el informe antes de ultimarlo?
Sí. Ofrecemos todos los informes en formato de borrador (en Microsoft Word) y pedimos sus comentarios en el plazo de cinco días laborables. Luego introducimos las modificaciones solicitadas antes de ultimar el informe. Si al cabo de los cinco días laborables no hemos recibido sus comentarios, se lo confirmaremos y ultimaremos el borrador. Generalmente sólo podemos hacer un conjunto de cambios en el informe, por lo que es esencial que nos facilite todas sus opiniones y comentarios detallados por escrito de una sola vez, para poder abordar todas las cuestiones que nos plantee.

¿Una vez resueltas las cuestiones identificadas durante la evaluación, volverá Foundstone a probarlas?
Si desea incluir la repetición de las pruebas, póngase en contacto con su gestor de cuenta para añadirla a la declaración de trabajo a fin de garantizar la disponibilidad de los recursos adecuados.

¿Qué medidas adopta Foundstone para garantizar la seguridad de nuestra información?
Toda la información de los clientes está cifrada con PGP mientras se encuentra almacenada en ordenadores portátiles durante un contrato. Además, se cifra todo el disco en las unidades de disco duro de los portátiles de los asesores. Se cifran asimismo todas las comunicaciones por correo electrónico mantenidas con usted que contengan resultados u otra información confidencial. Las vulnerabilidades sólo se comentan con los miembros de su personal designados por usted. Una vez finalizado un contrato, los portátiles se vacían de cualquier información del cliente mediante programas seguros de borrado, y los informes finales se archivan de forma centralizada.

¿Debemos prever algún período de inactividad durante las pruebas?
Foundstone adopta medidas para garantizar que la evaluación no dé lugar a períodos de inactividad. Los períodos de inactividad relacionados con una evaluación de Foundstone han sido muy infrecuentes, pero la posibilidad no se puede descartar del todo. Informe al responsable del proyecto sobre cualquier activo que requiera alta disponibilidad y los asesores de Foundstone le prestarán la debida atención. Estos activos se deben indicar en la lista de comprobación previa al contrato.

¿Se llevará a cabo alguna prueba intrusiva?
No ejecutamos ninguna herramienta automatizada, ataque o secuencia de comandos que sepamos que causa una denegación de servicio, ya sea como objetivo principal del ataque o como efecto secundario. La mayoría de nuestras evaluaciones de aplicaciones se realizan mediante procesos manuales, y todos nuestros análisis automatizados se ejecutan en modo no intrusivo. Existe un riesgo mínimo de que los análisis no intrusivos causen problemas en algunos dispositivos de red antiguos.

¿Debo suspender las actualizaciones de la aplicación mientras Foundstone realiza las pruebas?
Para realizar una prueba completa y exhaustiva, es importante que se dé a Foundstone acceso a un entorno de pruebas estable. Esto aumentará la productividad y evitará demoras imprevistas. Le recomendamos que no realice cambios en la aplicación durante las pruebas. Nota: esto es específico únicamente de nuestros Software & Application Security Services.

Clausura

¿Qué marcará la clausura del proyecto?
La aceptación del informe técnico y el resumen ejecutivo finales marcará el final de la evaluación del proyecto. Foundstone celebrará una reunión de clausura para facilitar detalles sobre los resultados y recomendaciones, y también abordará cualquier posible cuestión pendiente. Seguidamente, Foundstone solicitará un informe de actividades de contrato (EAR) firmado y un formulario de comentarios.

¿Qué pasa si tengo dudas después de la reunión de clausura?
Animamos a nuestros clientes a ponerse en contacto con nosotros con cualquier pregunta de seguimiento. Alguien del equipo de Foundstone le responderá lo antes posible.

¿Con quién debo ponerme en contacto para los trabajos de seguimiento?
Póngase en contacto con el gestor de cuenta o con el responsable del proyecto para todas las peticiones y propuestas de trabajo de seguimiento. Su información de contacto se facilita en la lista de comprobación previa al contrato.