Preguntas frecuentes

Ventas

Decidimos usar Foundstone. ¿Cuáles son los primeros pasos?
Valoramos a su empresa y estamos ansiosos por comenzar, pero primero, existen algunas acciones clave que debe realizar antes de iniciar las pruebas. En primerísimo lugar, debe completar todo el papeleo legal antes de que podamos programar tiempo para realizar las pruebas. Por lo general el papeleo consiste en un acuerdo de servicios (términos y condiciones), una declaración de trabajo y, quizás, una orden de compra, si así lo exige su departamento de adquisiciones.

¿Cuál es la mejor manera de comunicarse con Foundstone?
Comuníquese con Foundstone por el medio que más le convenga. Puede comunicarse con nuestro personal de ventas por teléfono al 949-297-5600, por correo electrónico a consulting@foundstone.com o a través de nuestro sitio Web.

¿Es posible revisar el alcance de trabajo? Si se puede, ¿cómo?
Sí. Puede revisar fácilmente el alcance al comunicarse con su administrador de cuenta. Normalmente, la definición del alcance del proyecto se efectúa antes de la declaración de trabajo, pero también es posible elaborar un apéndice para la declaración de trabajo existente.

Puesta en marcha

¿Cuándo se programa la puesta en marcha?
Foundstone realiza una llamada de puesta en marcha con una semana de antelación a la fecha de inicio de la contratación. Esto le proporciona tiempo suficiente para coordinar cualquier detalle técnico o logístico que sea necesario para el comienzo exitoso de la evaluación.

¿Quién debe participar de la llamada de puesta en marcha y a quién debo informar sobre este trabajo?
Exactamente quién debe participar en la llamada de puesta en marcha y a quién hay que informar sobre el proyecto dependerá de los objetivos generales de la evaluación y cómo realizaremos la prueba real. Los clientes pueden solicitarnos verificar si su equipo operacional está al tanto mientras evaluamos su red; otros pueden preferir que les garanticemos que los sistemas de preproducción están seguros antes de la implementación, en tanto que otros clientes solicitan una prueba de su entorno de producción. En general, recomendamos que informe a sus colegas sobre este proyecto lo más pronto posible y proporcione una explicación completa y detallada del trabajo. Llegar a un acuerdo con anticipación evitará objeciones inesperadas de las fechas de prueba que pueden generar demoras. Le recomendamos considerar notificar sobre lo siguiente:

  • El punto de contacto principal del proyecto o el administrador de proyecto
  • Un representante de operaciones en red
  • Un representante de desarrollo de aplicaciones, si esta evaluación involucra la prueba de aplicaciones
  • Un representante de seguridad de la información
  • Un representante del propietario del sistema
  • Un miembro del equipo de auditoría, si este proyecto constituye un requerimiento de auditoría
  • Para la organización patrocinadora, si la red y/o aplicación de destino están albergadas por un tercero

¿Quién hace realmente el trabajo y cómo administra Foundstone sus proyectos?
Todas las pruebas técnicas son realizadas por consultores de seguridad de Foundstone. Todos los empleados son a tiempo completo, a contrato y han sido sometidos a verificaciones de antecedentes rigurosas. No usamos contratistas.

A cada contratación se asigna un equipo de proyecto. Usted no puede interactuar con todos los miembros del equipo, pero cada miembro juega un rol fundamental en el éxito de su contratación. Los equipos típicos incluyen:

  • Consultores técnicos responsables de las labores de prueba cotidianas. Ellos realizan los trabajos pesados.
  • Un administrador de proyecto es su principal punto de contacto y el responsable de la administración de su proyecto. A cada proyecto se le asigna un administrador de proyecto que es responsable de la llamada de puesta en marcha, las actualizaciones diarias y los resultados. Su administrador de proyecto trabajará con usted para resolver cualquier problema.
  • Un director regional responsable del aseguramiento de la calidad y la aprobación de todos los informes finales.  Los administradores de proyecto están bajo la supervisión de los directores regionales. Los directores ofrecen una ruta de escalamiento dentro de Foundstone si al administrador de proyecto no le es posible resolver los problemas.

Si tengo preguntas o inquietudes, ¿cómo me puedo comunicar con Foundstone?
El equipo de Foundstone le proporcionará información de contacto detallada de todos los miembros del equipo involucrados en esta evaluación. En la mayoría de los casos, el administrador de proyecto podrá responder todas sus inquietudes, pero además recibirá información de contacto del director regional y el administrador de cuenta si es necesario escalar cualquier problema. Esta información de contacto se envía con la lista de verificación previa a la contratación.

¿Puedo solicitar consultores específicos para este trabajo?
Si existen consultores específicos con los que le gustaría trabajar, infórmenos sobre ellos lo más pronto posible. Si el consultor no está asignado a otra contratación, gestionaremos su solicitud. Tenga la seguridad de que nuestro compromiso con el éxito de su proyecto es tan sólido como el suyo, de manera que siempre asignaremos a la contratación los consultores adecuados para alcanzar los objetivos del proyecto. Además, un componente clave del éxito de Foundstone es el uso de metodologías comprobadas que nos permiten ofrecer resultados consistentes mediante cualquiera de nuestros consultores.

¿Qué información necesita Foundstone para comenzar las pruebas?
Por lo general, necesitamos dos tipos de información suya: logística y técnica.

  • Logística: completaremos una lista de verificación previa a la contratación en la reunión de puesta en marcha que sostendremos. Ésta incluye detalles de contacto, coordinaciones de viajes, procedimientos de escalamiento y otros tipos de información.
  • Técnica: las necesidades exactas varían según el tipo de evaluación, pero por lo general incluyen direcciones IP o de aplicaciones de destino, políticas escritas y otros requerimientos. El administrador de proyecto de Foundstone le entregará una lista detallada de los requerimientos antes de la reunión de puesta en marcha.

¿Foundstone podrá resolver las inquietudes específicas que podamos tener?
Por supuesto. Si existe algún área de la evaluación que le interesa especialmente, informe al administrador de proyecto y haremos todo lo posible por resolver sus inquietudes. Esta es la primera pregunta que el administrador de proyecto de Foundstone planteará en la reunión de puesta en marcha.

Ejecución

¿Qué nivel de visibilidad tenemos del proceso de evaluación?
Durante la reunión de puesta en marcha, el administrador de proyecto detallará los diversos pasos involucrados en el proceso de evaluación. Además, las actualizaciones diarias incluirán detalles específicos de las actividades realizadas ese día y planes para el día siguiente. Al término del proyecto, el informe técnico proporciona detalles sobre la metodología utilizada para llevar a cabo la contratación, así como también las notas sobre las pruebas. Si necesita más detalles o si desea hacer un “seguimiento” durante la contratación, informe al administrador de proyecto antes o durante la reunión de puesta en marcha. Para nosotros es un placer trabajar con usted para satisfacer sus solicitudes y las preguntas siempre son bien recibidas.

¿Qué sucede si mi infraestructura no está lista o no funciona en la fecha de pruebas?
Cuando programamos una contratación, trabajamos con usted para ayudarle a comprender los requerimientos para alcanzar el éxito. Esto incluye los elementos técnicos y logísticos que antes mencionamos. Si estos elementos no están disponibles o el sistema no funciona el día en que comienzan las pruebas, por lo general no podemos continuar. Debe revisar sus términos y condiciones específicos. Normalmente, esto impondrá una sanción económica y se volverá a presentar su contratación para programarla, lo que puede generar una demora en ella. Es su responsabilidad asegurarse de que los elementos solicitados en la lista de verificación previa a la contratación se completen, o bien Foundstone no programará su proyecto para que comience.

¿A qué hora del día se realizarán las pruebas?
Por lo general, realizamos la mayoría de las pruebas durante el horario hábil normal en el lugar de su ubicación. Esto nos permite comunicarnos con usted de inmediato si identificamos cualquier problema de alto riesgo. Usamos algunas herramientas de escaneo automatizadas que demoran un poco en ejecutarse, de manera que con frecuencia las ejecutamos durante la noche. Podemos acceder a cualquiera de nuestros servidores de evaluación en forma remota, de manera que podemos detener de inmediato un escaneo, si es necesario. Además, tenemos la capacidad de programar muchas de nuestras herramientas de escaneo para que se ejecuten sólo durante determinadas ventanas de tiempo, si es necesario. Podemos ajustar los tiempos, pero tenga en cuenta que las ventanas de tiempo demasiado restrictivas limitarán la eficacia de nuestras herramientas y los resultados que podamos proporcionar dentro del período de evaluación. Si sus pruebas requieren trabajo fuera del horario comercial normal, debe notificar sobre ello al administrador de proyecto lo más pronto posible y antes de la llamada de puesta en marcha.

Si Foundstone obtiene acceso, ¿se producirán intentos de aprovechar dicho acceso para comprometer otros sistemas?
Si obtenemos acceso al sistema, detenemos dicha línea de prueba y tomamos una captura de pantalla para ilustrar el nivel de acceso que obtuvimos. Le proporcionamos dicha información y trabajamos con usted para determinar si desea realizar más pruebas para definir mejor el nivel de riesgo para su organización.

¿Cuánto tiempo después de la evaluación veré los resultados?
Le proporcionamos actualizaciones diarias durante todo el período de evaluación con un documento sobre los descubrimientos preliminares que detalla los problemas identificados hasta la fecha. Estos descubrimientos están en el mismo formato proporcionado en la sección técnica de nuestro informe, de manera que verá los resultados de manera exacta que en el informe final. Además, si descubrimos cualquier problema de alto riesgo que permita a un atacante obtener acceso no autorizado a un sistema o datos delicados, le informaremos de estos resultados de inmediato sin esperar hasta la actualización del día siguiente. Después de finalizar las pruebas, por lo general ofrecemos un borrador del informe en un plazo de cinco días hábiles.

¿En qué consiste el resultado final?
El resultado final estándar es el informe técnico, que incluye un resumen ejecutivo y cualquier información sin procesar recopilada durante el proyecto. Revise su declaración de trabajo para enterarse de cualquier resultado adicional, como una presentación técnica, una presentación ejecutiva o una declaración de certificación. Además, podemos entregar informes personalizados como un archivo separado por coma que contiene los descubrimientos.

¿Qué puedo esperar encontrar en el informe?
El informe técnico ofrece detalles sobre el proyecto, como el alcance de la evaluación, los aspectos positivos identificados, las vulnerabilidades identificadas, las recomendaciones tácticas y estratégicas para ayudar a remediar las vulnerabilidades, las notas detalladas recopiladas durante la contratación y la metodología aplicada para realizar la evaluación.

El resumen ejecutivo contiene un panorama de alto nivel del proyecto, que incluye una breve declaración del alcance del proyecto, un resumen de los descubrimientos, una serie de recomendaciones estratégicas y un informe de seguridad de las áreas evaluadas que compara su organización con los promedios de la industria.

Si tiene requerimientos adicionales para los informes, informe de ello a nuestro administrador de proyecto antes o durante la reunión de puesta en marcha. ¿Podemos satisfacer la mayoría de las solicitudes si las realiza antes del comienzo de la evaluación.

¿Podré revisar el informe antes de que lo terminen?
Sí. Le proporcionamos todos los informes en formato de borrador (en Microsoft Word) y le solicitamos que nos comunique sus comentarios en un plazo de cinco días hábiles. Luego, implementamos cualquier modificación solicitada antes de terminar el informe. Si no recibimos comentarios suyos al concluir el plazo de cinco días hábiles, supondremos que usted no tiene comentarios y finalizaremos el borrador. Con frecuencia, sólo podemos implementar una serie de cambios en el informe, de manera que es fundamental que nos comunique todas sus opiniones y comentarios detallados por escrito una sola vez y así podremos resolver todas sus inquietudes.

¿Foundstone volverá a probar los problemas identificados durante la evaluación una vez que los haya resuelto?
Si desea incluir nuevas pruebas, comuníquese con su administrador de cuenta para agregarlas a la declaración de trabajo y así garantizar que estén disponibles los recursos adecuados.

¿Qué medidas toma Foundstone para garantizar la seguridad de nuestra información?
Toda la información del cliente se cifra con PGP mientras está almacenada en computadoras portátiles durante una contratación. Esto es adicional al uso de cifrado de todo el disco en las unidades de disco duro de las computadoras portátiles de los consultores. Además, todas las comunicaciones vía correo electrónico con usted que contienen descubrimientos y otros tipos de información delicada están cifradas. Las vulnerabilidades se analizan sólo con los miembros de su personal que usted designe. Después de finalizar una contratación, se elimina toda la información del cliente de las computadoras portátiles mediante el uso de utilidades de eliminación seguras y los informes finales se archivan en forma central.

¿Es posible que se produzca algún tiempo de inactividad durante las pruebas?
Foundstone toma medidas extensivas para garantizar que la evaluación no genere ningún tiempo de inactividad. Casi nunca se ha producido tiempo de inactividad con motivo de una evaluación de Foundstone, pero no se puede descartar completamente la posibilidad. Informe al administrador de proyecto sobre cualquier activo que tenga requerimientos de alta disponibilidad y los consultores de Foundstone tomarán las precauciones correspondientes. Estos activos se pueden señalar en la lista de verificación previa a la contratación.

¿Se realizará alguna prueba intrusiva?
No ejecutamos herramientas automatizadas, ataques ni scripts que se sabe que generan denegación de servicio como el objetivo principal del ataque o como un efecto colateral. La mayoría de nuestras evaluaciones de aplicaciones se realizan al usar procesos manuales y todos nuestros escaneos automatizados se ejecutan en forma no intrusiva. Existe un riesgo mínimo de que los escaneos no intrusivos causen problemas para algunos dispositivos de red heredados.

¿Debo detener las actualizaciones a la aplicación mientras Foundstone está realizando las pruebas?
Para realizar una prueba rigurosa y completa, es importante que proporcione a Foundstone acceso a un entorno de pruebas estable. Esto incrementará la productividad y evitará que se produzcan demoras imprevistas. Le recomendamos que no realice ningún cambio en la aplicación mientras se están llevando a cabo las pruebas. Nota: esto es específico sólo de nuestros Servicios de seguridad de software y aplicaciones.

Cierre

¿Cómo se indicará la conclusión del proyecto?
Cuando el informe técnico final y el resumen ejecutivo han sido aceptados, se considera que la evaluación del proyecto ha concluido. Foundstone realiza una reunión de cierre para proporcionar detalles sobre los descubrimientos y las recomendaciones y también resuelve cualquier inquietud que haya quedado en el tintero. Luego, Foundstone solicita un informe de actividad de contratación (EAR) firmado y un formulario de comentarios.

¿Qué hago si aún tengo preguntas después de la reunión de cierre?
Instamos a nuestros clientes a comunicarse con nosotros si tienen preguntas de seguimiento. Una persona del equipo de Foundstone se comunicará con usted a la brevedad.

¿Con quién me puedo comunicar para el trabajo de seguimiento?
Comuníquese con el administrador de cuenta o el administrador de proyecto en referencia a todas las solicitudes y propuestas de trabajo de seguimiento. Su información de contacto se proporciona con la lista de verificación previa a la contratación.