Servicios - OM DATA

SERVICIOS INTEGRALES DE SEGURIDAD INFORMÁTICA Y TECNOLOGÍA

Ilustración de Servicios
Ethical Hacking OM DATA

Nuestro equipo de ingenieros ejecuta pruebas de intrusión bajo protocolos aceptados internacionalmente, usando herramientas certificadas como Tenable Nessus Professional y Burp Suite Professional.

Se emplean técnicas adaptadas a los objetivos del cliente como obtención de información, afectación de sistemas o toma de control en entornos controlados.

  • Evaluación de vulnerabilidades reales usando pruebas OSINT y Red Team.
  • Simulación de ataques multi-vector sin limitarse a objetivos específicos.
  • Detección de brechas en detección y respuesta, con recomendaciones efectivas.
  • Apoyo en educación y concienciación mediante resultados compartidos con Blue Team.
Metodologías y Normas
  • NIST SP 800-115 – Guía técnica de evaluación de seguridad.
  • OWASP Top 10 como base para pruebas web.
  • Metodología gráfica propia de OM DATA.
Técnicas de ataque utilizadas
  • SQL Injection, Session Hijacking, CSRF, XSS, RFI.
  • Command injection, Directory Traversal, Brute Force.
  • Denial of Service (DoS).
Pruebas OSINT
  • Validación de exposición pública: redes, Dark Web y foros.
  • Recolección de datos sensibles: nombre, cédula, correo.
  • Datos analizados: financieros, sociales, activismo y negocios.
Red Team – Simulación Real
  • Ataques dirigidos y persistentes en toda la organización.
  • Evaluación de controles: firewalls, IDS/IPS, autenticación.
  • Análisis de detección y respuesta ante intrusiones.
OM DATA ofrece soluciones certificables alineadas con estándares internacionales.
Gestión de Vulnerabilidades
Security Scan Service

El servicio de Gestión de Vulnerabilidades proporcionado por OM DATA está diseñado para evaluar, identificar y gestionar de forma efectiva los riesgos de seguridad presentes en:

  • Aplicaciones web
  • Servidores físicos o virtuales
  • Equipos conectados a la red de datos
  • Dispositivos con acceso a servicios críticos

Esta solución es ideal para organizaciones que desean cumplir con normativas de seguridad como ISO 27001, PCI, HIPAA, GLBA, CIS, NIST, entre otras, y que buscan reducir riesgos operativos sin incrementar los costos.

  • Cumplimiento normativo con estándares reconocidos internacionalmente.
  • Análisis internos y externos con alto grado de precisión.
  • Reducción del riesgo sin aumento de costos operativos.
  • Informes detallados en menos de 24 horas.
  • Adaptabilidad a plataformas como Windows, Linux y macOS.
  • Personal técnico altamente capacitado y experimentado.
  • Costos fijos y predecibles para la organización.
Tipos de Análisis

1. Aplicaciones Web:

  • Escaneo especializado para tecnologías modernas (JavaScript, APIs REST, etc.).
  • Soporte para autenticaciones avanzadas (formularios, token, SSO).
  • Escaneo rápido y con mínimo de falsos positivos.
  • Detección de OWASP Top 10, inyecciones SQL, XSS, CSRF y más.

2. Servidores y Equipos en la Red:

  • Evaluación de configuraciones, parches y servicios expuestos.
  • Análisis de accesos remotos, puertos abiertos, protocolos inseguros.
  • Validación de cifrado, contraseñas por defecto y configuraciones erróneas.
Proceso del Servicio
  • 1. Solicitud: El cliente solicita el análisis a través de la mesa de servicios.
  • 2. Preparación: El equipo adapta el análisis al entorno y contexto específico del cliente.
  • 3. Configuración: Se realiza la configuración personalizada de herramientas de escaneo.
  • 4. Ejecución: Se ejecuta el escaneo utilizando herramientas líderes del mercado.
  • 5. Informe: Se entrega un informe claro, técnico y ejecutivo en menos de 24 horas.
Gestión y Remediación de Vulnerabilidades

El equipo de OM DATA se encarga de priorizar vulnerabilidades críticas que representen un riesgo significativo para la continuidad del negocio. A partir de los resultados, se proponen acciones correctivas y planes de remediación específicos y viables.

Además, se ofrece asistencia técnica para implementar los cambios necesarios en plataformas, sistemas operativos y aplicaciones, si así lo requiere el cliente.

Alcance y Escalabilidad
  • Escaneo de 5 a 300 dispositivos.
  • Análisis de 2 a 40 aplicaciones web.
  • Ideal para entornos corporativos, instituciones financieras, sector salud y educación.

Conclusión: La gestión proactiva de vulnerabilidades es un componente clave para asegurar la infraestructura digital de las organizaciones. Con el servicio Security Scan de OM DATA, su empresa contará con un aliado estratégico que le permitirá mitigar riesgos, cumplir normativas y fortalecer su postura de ciberseguridad de forma continua.

OM DATA ofrece soluciones certificables alineadas con estándares internacionales.
Infraestructura y Soporte

El servicio abarca la gestión integral de los recursos tecnológicos que sustentan la operación de una organización:

  • Incluye desde los centros de datos y redes, hasta servidores, virtualización, equipos de usuario final y soporte técnico especializado.
  • Se gestiona con enfoque en la calidad del servicio, la continuidad operativa y la seguridad de la información.
  • Interfaz centralizada para gestionar solicitudes, incidentes y cambios.
  • Soporte multicanal: telefónico, aplicación web y correo electrónico.
  • Disponibilidad de estadísticas y reportes que permiten mejorar el servicio.
  • Monitoreo proactivo para evitar fallos antes de que afecten la operación.
  • Soporte especializado con tiempos de respuesta definidos por SLA.
  • Reducción del tiempo de inactividad en sistemas críticos.
  • Adaptación a entornos híbridos: físicos, virtualizados o en la nube.
  • Enfoque en seguridad, cumplimiento y continuidad del negocio.
  • Acceso a reportes ejecutivos para toma de decisiones.
  • Empresas que requieren soporte técnico especializado y confiable.
  • Organizaciones con entornos complejos que integran servidores, redes y aplicaciones críticas.
  • Clientes que desean mejorar la disponibilidad, seguridad y rendimiento de su infraestructura.
  • Entidades que necesitan trazabilidad, control de cambios y atención centralizada.
Componentes gestionados por OM DATA:
  • Gestión de niveles de servicio internos y externos.
  • Relación con proveedores tecnológicos.
  • Administración de capacidad, cumplimiento y arquitectura de TI.
  • Supervisión de centros de datos, servidores físicos y virtuales, redes y comunicaciones.
  • Control sobre aplicaciones y bases de datos críticas.
  • Gestión de dispositivos de usuario final (PCs, impresoras, móviles, etc.).
  • Controles de seguridad física y lógica.
  • Proyectos TIC alineados a la estrategia del negocio.
  • Acceso a manuales y procedimientos adaptados al cliente.
Niveles de Servicio y Atención:
  • Fallas críticas (24x7): atención todos los días, 24 horas. Inicio de solución en máximo 1 hora.
  • Fallas de alta prioridad (12x7): atención diaria de 6:00 a.m. a 6:00 p.m. Inicio de solución en máximo 4 horas.
  • Cambios de configuración (12x5): respuesta en máximo 24 horas.
  • Otras solicitudes (12x5): respuesta en máximo 24 horas.
OM DATA ofrece soluciones certificables alineadas con estándares internacionales.
phishing
¿Qué es el Phishing?
  • Es una técnica de ingeniería social utilizada para engañar a los usuarios y obtener acceso a información confidencial como credenciales, datos bancarios o empresariales.
  • Generalmente se realiza a través de correos electrónicos falsos, mensajes de texto, llamadas o incluso sitios web clonados.
  • El atacante se hace pasar por una entidad legítima para generar confianza en la víctima.
Rol del usuario en la seguridad
  • El usuario es el primer eslabón en la cadena de defensa digital.
  • Su criterio y atención pueden prevenir incidentes costosos.
  • Reportar y no interactuar con mensajes sospechosos es clave.
User Verified y su valor
  • La etiqueta 'User Verified' es una estrategia para ayudar a validar que un usuario o remitente es confiable.
  • Puede aplicarse en entornos empresariales con sistemas que autentican y certifican identidades digitales.
  • Aumenta la confianza en la comunicación interna y externa.
  • Facilita la identificación de correos legítimos frente a intentos de phishing.
  • Adicionalmente, los usuarios reciben campañas de concientización continua y formación mediante una plataforma educativa adaptada al contexto colombiano..
  • Concientización constante a través de campañas atractivas y participativas.
  • Formación dinámica, actualizada y contextualizada para los usuarios.
  • Evaluación mediante correos reales con objetivos específicos.
  • Informe final con evidencias, clics, descargas, y respuesta del usuario.
  • Segmentación de pruebas para cargos de alto riesgo.
Buenas prácticas para prevenir Phishing
  • Capacitar al personal sobre cómo identificar correos sospechosos.
  • Habilitar doble factor de autenticación (2FA) en todas las plataformas.
  • Utilizar filtros antispam y herramientas de seguridad de correo.
  • Reportar de inmediato cualquier intento sospechoso al área de TI o Seguridad.
  • Verificar las URL antes de iniciar sesión en cualquier sitio web.
Pruebas realizadas
  • Envíos programados con distintos objetivos.
  • Suplantación de identidad general y específica.
  • Sistema único de pruebas destruido al finalizar.
  • Mensajes por WhatsApp, SMS y llamadas telefónicas.
Dirigido a
  • Correos electrónicos seleccionados.
  • Usuarios o cargos identificados con mayor nivel de riesgo.
Medición
  • Clics en enlaces internos.
  • Descarga de archivos adjuntos.
  • Captura de información.
  • Gestión de incidentes.
Tipos comunes de Phishing
  • Phishing clásico: envío de correos falsos solicitando información sensible.
  • Spear Phishing: ataques personalizados a personas específicas dentro de una organización.
  • Whaling: ataques dirigidos a ejecutivos de alto nivel (CEO, CFO).
  • Smishing: mensajes de texto falsos con enlaces maliciosos.
  • Vishing: llamadas telefónicas en las que se hacen pasar por soporte técnico o bancos.
Cómo detectar un intento de Phishing
  • Revisar el dominio del remitente (puede ser similar pero incorrecto).
  • Sospechar de mensajes urgentes o alarmistas que piden acciones rápidas.
  • Verificar enlaces antes de hacer clic: pasar el cursor para comprobar el destino real.
  • No descargar archivos adjuntos inesperados.
  • Buscar errores ortográficos o de formato en el mensaje.
Phishing y Validación
Ver PDF
User Verified
Ver PDF
OM DATA ofrece soluciones certificables alineadas con estándares internacionales.
Oficial de Seguridad

OM DATA ofrece dos niveles de responsabilidades en el servicio de Oficial de Seguridad (CISO), con enfoque tanto operativo como estratégico, bajo buenas prácticas, estándares y regulaciones de ciberseguridad.

Rol del Oficial de Seguridad (CISO) como servicio:

  • Es un servicio tercerizado que permite a las organizaciones contar con un experto en seguridad de la información sin necesidad de contratar uno de planta.
  • Se alinea con las normas ISO/IEC 27001 y marcos como NIST, COBIT e ITIL.
  • Aporta liderazgo estratégico, gobernanza de seguridad, y apoyo en la toma de decisiones técnicas y organizativas.

Objetivos del servicio:

  • Supervisar, asesorar y garantizar el cumplimiento del SGSI.
  • Reducir riesgos de ciberseguridad desde un enfoque estratégico.
  • Alinear las políticas de seguridad con los objetivos del negocio.
Alcance del CISO Nivel 1:
  • Revisión del cumplimiento de políticas de seguridad de la información.
  • Seguimiento al programa de sensibilización y capacitación.
  • Revisión de procesos de contratación e inducción del personal.
  • Supervisión de planes de tratamiento de riesgos y controles documentales.
  • Revisión periódica de accesos, requisitos de seguridad y controles operativos.
  • Gestión de incidentes, cambios y continuidad operativa.
  • Informes mensuales con recomendaciones y mejoras.
Actividades adicionales sugeridas (Nivel 1):
  • Acompañamiento en campañas de phishing y simulacros.
  • Evaluación de la cultura organizacional frente a la seguridad.
  • Revisión del cumplimiento de buenas prácticas en el manejo de contraseñas y dispositivos móviles.
Alcance del CISO Nivel 2:
  • Incluye todo lo del Nivel 1, más:
  • Guía en identificación y clasificación de activos críticos.
  • Evaluación de riesgos y requisitos de seguridad en proyectos.
  • Definición de planes de tratamiento de riesgos.
  • Controles de acceso, seguridad física, prevención de software malicioso.
  • Indicadores, respuesta a incidentes y auditorías externas.
Actividades adicionales sugeridas (Nivel 2):
  • Definición de planes de concienciación anual.
  • Revisión de procesos de transferencia segura de información.
  • Evaluación y recomendación de herramientas de seguridad técnica (EDR, WAF, SIEM).
  • Establecimiento de tableros de control (KPI/KRI) para reportes a la alta dirección.
Modalidad de Atención
  • Atención remota o presencial, según necesidad y presupuesto.
  • Horario: lunes a viernes de 8:00 a.m. a 5:00 p.m. (9x5).
  • Tiempo de respuesta a requerimientos críticos: inmediato.
  • Respuesta a solicitudes generales: 4 horas.
  • Documentación y planes: según requerimiento.
Equipo de Trabajo
  • Profesional Asignado: Ingeniero de sistemas o afines con certificación ISO 27001 y 5 años de experiencia.
  • Coordinador del Servicio: Ingeniero especializado con certificación CISSP o CISM.
  • Documentador Asistente: Técnico o Ingeniero TIC con experiencia en SGSI (según necesidad).
Ventajas del Servicio
  • Reducción de costos frente a un CISO de planta.
  • Acceso a un equipo de especialistas certificados.
  • Flexibilidad y adaptación según el tamaño y madurez de la organización.
  • Monitoreo continuo y visión externa objetiva.
Casos de Aplicación
  • Organizaciones en proceso de certificación ISO 27001.
  • Entidades públicas o privadas con necesidades de cumplimiento regulatorio (SuperFinanciera, Habeas Data, MinTIC).
  • Empresas sin personal experto en ciberseguridad que requieren madurez en SGSI.
Brochure Oficial Seguridad
Ver PDF
OM DATA ofrece soluciones certificables alineadas con estándares internacionales.
Ciberseguridad OM DATA

¿Qué es la seguridad de la información?

  • Proteger uno de los activos más valiosos de una organización: la información.
  • Confidencialidad: solo acceden quienes están autorizados.
  • Integridad: la información no se altera sin permiso.
  • Disponibilidad: está accesible cuando se necesita.

¿Por qué implementar un SGSI?

  • Organiza y asegura la protección de la información.
  • Factores clave: cibercrimen, transformación digital, normativas, confianza.
  • Implementación del SGSI con ISO/IEC 27001 y auditorías internas.
  • Planes de recuperación ante desastres con respaldo y continuidad.
  • Campañas de cultura organizacional y simulacros.
  • Acompañamiento en cumplimiento normativo y legal.
  • Gestión integral mediante el modelo All-in.
  • Reducción de riesgos tecnológicos, legales y operacionales.
  • Protección continua frente a amenazas emergentes.
  • Confianza institucional y reputación fortalecida.
Gestión ISO 27001
  • Análisis de brechas y riesgos.
  • Controles SoA (Statement of Applicability).
  • Auditoría interna y acompañamiento a certificación.
Continuidad y DRP
  • Backups, replicación y recuperación (ITDR).
  • Planes de Continuidad del Negocio (BCP).
  • Manual operativo ante incidentes.
Concienciación
  • Simulacros de phishing.
  • Boletines educativos.
  • Formación continua y validación.
Cumplimiento
  • Controles alineados con NIST SP 800-53.
  • Auditorías regulatorias nacionales e internacionales.
Pruebas Técnicas
  • Vulnerability scan, ethical hacking, penetration testing.
  • Red Team / Blue Team y análisis de impacto.
  • Informe técnico con hallazgos y recomendaciones.
Gestión de Incidentes
  • Fases: detección, análisis, contención, recuperación.
  • Capacidades: respuesta, registros, toma de decisiones.
  • Lecciones aprendidas y mejora continua.
DRP y Continuidad
  • Planes BCP, RTO, RPO, WRT y MTD definidos.
  • Backups, replicación y recuperación segura.
  • Manual de activación y pruebas periódicas.
Cultura y Formación
  • Capacitaciones, simulacros, campañas.
  • Validación de usuarios y refuerzo continuo.
  • Enfoque humano como primera línea de defensa.
OM DATA ofrece soluciones certificables alineadas con estándares internacionales.