Auditoría de Seguridad

Qué incluye:

• Revisión de infraestructura (servidores, cloud, redes, DNS y correo).
• Revisión de configuraciones críticas (firewall, WAF, accesos, MFA).
• Evaluación de backups, RPO/RTO y restauración.
• Revisión de exposición pública (puertos, servicios, paneles).

Entregables:

• Informe ejecutivo (riesgo, impacto, prioridades).
• Informe técnico (hallazgos, evidencia y recomendaciones).
• Roadmap 30/60/90 días.

Ideal para: Empresas que quieren saber dónde están paradas y ejecutar rápido.

Pentesting Web / API

Qué incluye:

• Pruebas OWASP Top 10 (web y API).
• Validación de autenticación, sesiones, permisos y lógica de negocio.
• Explotación controlada (sin afectar operación).
• Re-test posterior a remediación.

Entregables:

• Hallazgos reproducibles con severidad y evidencia.
• Recomendaciones técnicas detalladas.
• Certificado de re-test (si aplica).

Ideal para: Ecommerce, SaaS, integraciones y sistemas con datos sensibles.

Hardening & Secure Baseline

Qué incluye:

• Endurecimiento de servidores (Linux/Windows), SSH/RDP y servicios.
• Configuración de WAF/CDN, rate limiting y reglas.
• Políticas de MFA, rotación y mínimos privilegios.
• Revisión de actualizaciones y parches.

Entregables:

• Checklist aplicado y cambios realizados.
• Configuración base documentada.
• Plan de mantenimiento.

Ideal para: Reducir superficie de ataque de forma inmediata.

Monitoreo y Alertas (SOC)

Qué incluye:

• Definición de eventos críticos y umbrales.
• Integración de logs según alcance.
• Alertas accionables y escalamiento.
• Reporte mensual con tendencias.

Entregables:

• Dashboard de estado.
• Reporte mensual (eventos, acciones, mejoras).
• Bitácora de incidentes.

Ideal para: Empresas que necesitan detección temprana y control continuo.

Respuesta a Incidentes (IR)

Qué incluye:

• Contención inmediata: aislar, bloquear y preservar evidencia.
• Análisis de causa raíz y vector de ataque.
• Erradicación y recuperación.
• Post-mortem y plan de prevención.

Entregables:

• Informe de incidente (línea de tiempo, impacto y evidencias).
• Plan de mejoras.
• Recomendaciones legales y técnicas (en coordinación con tu equipo).

Ideal para: Cualquier empresa ante malware, fuga, intrusión o caída sospechosa.

Capacitación Anti‑Phishing

Qué incluye:

• Taller práctico para equipos.
• Campañas simuladas de phishing según el plan.
• Material de refuerzo y política simple.

Entregables:

• Resultados por campaña.
• Recomendaciones por área.
• Mejoras de proceso.

Ideal para: Reducir el principal vector de incidentes: el error humano.