?C?mo funciona el servicio?

El servicio es esencialmente un reemplazo de un explorador comercial de vulnerabilidades. En lugar de comprar por miles de d?lares un explorador comercial, preocup?ndose acerca de la conectividad de red, manteniendo la herramienta actualizada, asegur?ndose que funciona adecuadamente y dem?s, ofrecemos nuestras auditor?as como un reemplazo competitivo. Proveyendo una portada de interfaz de web a un sistema de exploraci?n junto con mecanismos de autenticaci?n, le ofrecemos a los usuarios una manera de usar un explorador de vulnerabilidades de una forma econ?mica. Sin software para descargar, nada para instalar. Todo se obtiene v?a un navegador sobre SSL a su sitio, desde donde puede requerir ejecutar auditor?as,programar auditor?as para m?s adelante, mirar informes, comentar informes, etc.

?Puedo probar antes de comprar?

Si. Puede registrarse para una cuenta de usuario normal en nuestro sistema y probar la interfaz para ejecutar cualquiera de nuestras auditor?as gratuitas. Los consultores obtienen una interfaz casi id?ntica, con la sola excepci?n de que se aplica un mecanismo de autenticaci?n distinta para poder auditar sistemas que no puede navegar desde el mismo.

?C?mo ejecutan las auditor?as?

Usted lo hace. Proveemos las funciones, pero usted es el que se autentica en su cuenta sobre nuestros servidores, programa o ejecuta auditor?as, mira los informes, etc.

?Mis clientes conocen que los estoy usando a ustedes?

Posiblemente. Dado que es nuestro equipo de exploraci?n el que corre las auditor?as, un cliente que hace una b?squeda reversa de DNS sobre las direcciones IP que hacen la exploraci?n ver?n que se resuelven a *.securityspace.com.

Nuestros informes, por otro lado, tienen una versi?n imprimible sin membrete que no indica el nombre SecuritySpace o el logotipo en ning?n lado. Tambi?n, el permiso de auditor?a que debe tener firmado un cliente es sin membrete. Es libre de colocar el permiso con su propio encabezamiento mientras no cambie los elementos de texto del permiso. Los informes pueden ser re-membretados y editados en cualquier estilo que quiera.

?Cuanto cuesta usarlo?

Hay un cargo ?nico inicial de $250 USD, para comenzar a ser miembro del programa de consultor?a. Este es facturado despu?s de que haya sido aceptado y despu?s de que haya devuelto firmado un acuerdo de consultor?a. De all? en m?s, los costos por los servicios est?n listados sobre el sitio bajo cada secci?n deservicio.

?Qu? descuentos hay disponibles para mi?

Los consultores no reciben descuentos de precios de lista. Lo que obtiene es lacapacidad de aprovechar los servicios que compra contra un n?mero ilimitado de clientes. Si compra, por ejemplo, un paquete de un mes de auditor?as ilimitadas, podr?a auditar tantos clientes como quiera dentro del per?odo de la suscripci?n.

?Cu?l es el cargo por cliente?

No hay cargo por cliente. Podr?a aprovechar su suscripci?n contra un n?mero ilimitado de clientes.

?Necesito mantener una suscripci?n continua?

No. Puede, como un ejemplo, elegir comprar un paquete de auditor?a de un mes cada mes, o incluso con menos frecuencia. La ?nica restricci?n es que si no ordena ning?n servicio por un a?o completo, podr?amos no renovar su contrato al final del a?o.

?Cu?n a menudo puedo ejecutar una auditor?a para un cliente?

Tan seguido como quiera. No seguimos el uso de su servicio por cliente. Si tiene una suscripci?n activa, puede usarla.

?Cuanto cobro a mis clientes?

Eso depende de los servicios que les provee. No fijamos restricciones en cuanto cobrar a sus clientes, y de hecho preferimos no saberlo. Como una regla general obvia, necesitar? cobrar su servicio de acuerdo al valor que provee.

?Qu? es un permiso de auditor?a?

Un permiso de auditor?a es un acuerdo de una p?gina que su cliente deber? firmar antes de que le permitamos auditar la red de su cliente. Esto esencialmente asegura que el cliente conoce los riesgos inherentes asociados con una auditor?a, est? acept?ndolos, y permiti?ndole seguir adelantecon las auditor?as.

?Por qu? necesito que cada cliente firme un permiso?

Es un mecanismo de protecci?n de responsabilidad para ambos y para nosotros mismos. Asegura que la diligencia adecuada ha sido conducida para permitir que se realice la auditor?a.

?Puedo definir mi propio sitio con su servicio?

No. No vendemos o arrendamos el software que integran nuestros servicios de esa manera. Si desea instalar su propio servicio de exploraci?n, deber? investigar otras soluciones disponibles para hacer eso.

?Despu?s de ejecutar su auditor?a, est?n mis clientes seguros?

Incluso si una auditor?a finaliza limpia, no hay garant?as de que el sistema auditado es seguro. Un exploraci?n de vulnerabilidades "enlatado", que es lo que proveemos, es un buen comienzo para determinar la posici?n de seguridad de un sistema. Conocemos un n?mero de organizaciones que usan nuestros servicios como una verificaci?n de sanidad contra una prueba de penetraci?n completa. Pero deber?a estar al tanto de que es s?lo un comienzo. Hay muchos otros temas de seguridad para ser tratados, y donde un consultor puede proveer valor agregado. Estos incluyen cosas tales como determinar si est?n fijadas adecuadamente las pol?ticas y procedimientos, si las aplicaciones propietarias son seguras, y dem?s.

?Cuanto tiempo toma auditar una red Clase C completa?

Esto depende de varios factores. Para auditor?as avanzadas, una regla general ruda es que la suscripci?n por omisi?n habr? auditado ente 4 y 15 direcciones IP por d?a, dependiendo si el sistema a ser auditado tiene un firewall, la cantidad de latencia de la red, p?rdida de paquetes, y dem?s. El promedio es de 10 auditorias por d?a, lo que significa que podr?a tomar alrededor de 25 d?as auditar una Clase C completa.

Si se requieren tiempos de auditor?a m?s r?pidos, puede comprar canales adicionales, que le permitir?n auditar mas IPs simult?neamente. Puede comprar tantos canales adicionales como necesite para terminar la auditor?a en el tiempo requerido. Cada canal le permite ejecutar una auditor?a a la vez. Las suscripciones Est?ndar vienen con un canal asignado, mientras que las suscripciones Avanzadas vienen con dos canales asignados.

?Har? caer esto la red de mi cliente?

Posiblemente, si. Probablemente no. Una auditor?a es considerada intrusiva, y como tal siempre existe el riesgo de una interrupci?n del servicio, tanto sobre dispositivos de red o en aplicaciones. Tomamos un n?mero de pasos para mitigar el riesgo. El principal es que las pruebas de la categor?a de Negaci?n de Servicio, las cuales tienen la mayor probabilidad de impactar una red, est?n por omisi?n, desactivadas. Si las activa o no, depende de la tolerancia de su cliente a una ca?da. Generalmente recomendamos que si un cliente puede tolerar una ca?da, sea ejecutado el conjunto completo de pruebas. Advierta que si nuestras pruebas tiran una red, es imperativo que sea lo que sea lo que lo causa, el problema sea resuelto, dado que no hacemos nada que cualquier otro individuo m?s maligno tambi?n podr?a hacer.

?Cuales plataformas audita?

Nuestro servicio tiene pruebas para virtualmente cada plataforma, y no est?n limitadas a un sistema operativo en particular o conjunto de aplicaciones. Encontrar? pruebas para Windows, Linux, Unix, Macintosh, Servidores Web, productos de Base de Datos, y m?s. Si puede ser probado en forma remota, tratamos de tener la prueba disponible para ?l.