Pruebas de seguridad
Acuerdos de pruebas de penetración
Aunque nuestro objetivo es identificar y prevenir fallos de seguridad en nuestro proceso de desarrollo de software, no existe el sistema perfecto. Por eso también realizamos evaluaciones de seguridad periódicas de nuestros productos. Estas evaluaciones se realizan normalmente en un escenario de caja blanca (white box) con acceso a los detalles de la arquitectura y al código fuente. Nuestro enfoque produce pruebas más eficientes y eficaces en comparación con un escenario de caja negra (black box) en el que se proporciona poca información sobre el producto.
Para nuestras últimas evaluaciones, hemos empezado a recopilar y publicar cartas de certificación. Para las evaluaciones más antiguas, podemos facilitarle los detalles si lo solicita. Nuestro objetivo es recopilar las cartas de las pruebas posteriores/futuras a medida que se vayan completando.
Cartas de certificación de las evaluaciones
| Solución | Producto | Fecha de la última prueba | Proveedor | Carta de certificación |
|---|---|---|---|---|
| Endpoints | Intercept X | Octubre de 2024 | MWR CyberSec | CCert - MWR - Endpoint |
| XDR | Febrero de 2024 | MDSec | CCert - MDSec - MDR - XDR - SOC.OS | |
| Sophos Mobile Control | Agosto de 2024 | MWR CyberSec | CCert - MWR - SMC | |
| Redes | Firewall | Noviembre de 2024 | MWR CyberSec | CCert – MWR – Firewall CCert – MWR – Cliente de Sophos Connect |
| SG UTM | Julio de 2022 | Nettitude | Contáctenos | |
| Dispositivos Ethernet remotos SD-RED | Noviembre de 2021 | MDSec | Contáctenos | |
| ZTNA | Octubre de 2023 | MWR CyberSec | CCert - MWR - Firewall/ZTNA | |
| Switch | Enero de 2024 | Sophos Red Team | Contáctenos | |
| DNS Protection | Enero de 2024 | MWR CyberSec | CCert - MWR - DNS Protection | |
| Operaciones de seguridad | MDR | Febrero de 2025 | MDSec | CCert - MDSec - MDR |
| XDR | Febrero de 2024 | MDSec | CCert - MDSec - MDR - XDR - SOC.OS | |
| Refactr | Febrero de 2022 | Sophos Red Team | Contáctenos | |
| SOC.OS | Febrero de 2024 | MDSec | CCert - MDSec - MDR - XDR - SOC.OS | |
| Factory | Febrero de 2024 | MDSec | CCert - MDSec - Sophos Factory | |
| Correo electrónico | Central Email | Agosto de 2024 | Sophos Red Team | Contáctenos |
| Nube | Sophos Central | Enero de 2025 | MDSec | CCert - MDSec - Central |
| Cloud Optix | Enero de 2024 | MDSec | CCert - MDSec - Optix | |
| ZTNA | Febrero de 2025 | Pen Test Partners | CCert – PTP - ZTNA | |
| Firewall | Octubre de 2023 | MWR CyberSec | CCert - MWR - Firewall/ZTNA | |
| Seguridad para particulares | Sophos Home | Agosto de 2022 | Sophos Red Team | Contáctenos |
| Otras | SophosLabs (incluido Intelix) | Noviembre de 2024 | Sophos Red Team | Contáctenos |
Ejercicios de simulación
En Sophos, creemos que es muy importante poner a prueba nuestras capacidades periódicamente. Para ello, desarrollamos escenarios de simulación con la colaboración de expertos de toda la empresa y de nuestro equipo de gestión de riesgos.
En la tabla siguiente se detallan algunos de los escenarios de simulación que hemos ejecutado recientemente.
Escenarios de simulación recientes
| Equipo | Escenario | Fecha |
|---|---|---|
| Equipo de finanzas | Ataque contra el departamento de finanzas por parte de un delincuente que se hace pasar por proveedor | 4T 2024 |
| Equipo de MDR | Vulneración de un desarrollador y analista que conduce a un ataque de ransomware a un cliente | 3T 2024 |
| Compras globales | Incorporación de un proveedor malicioso y solicitud de compra falsa | 2T 2024 |
| SophosLabs | Amenaza interna | 1T 2024 |
| RR. HH. | Ransomware y fuga de información de identificación personal (PII) de los empleados | 4T 2023 |
| Soporte | Ataque dirigido por parte de alguien que se hace pasar por un cliente | 3T 2023 |
| Marketing | Vulneración de un empleado que provoca un ataque de tipo defacement del sitio web y las redes sociales de la empresa | 2T 2023 |
| Jurídico | Investigador malicioso de un programa de recompensas por la detección de errores | 1T 2023 |
| Sophos Home | Vulneración de un ingeniero que provoca una importante pérdida de PII | 4T 2022 |
| SophosLabs | Vulneración del sistema de análisis, ataque a la cadena de suministro | 3T 2022 |
| Endpoint | Vulneración de binarios de Sophos, ataque a la cadena de suministro | 2T 2022 |
| Optix | Ingeniero sometido a phishing | 1T 2022 |
| TI | Incidente de ransomware a gran escala | 4T 2021 |
| Central | Vulnerabilidad de día cero en una aplicación que compromete los datos de los clientes | 4T 2020 |
Gestión de riesgos de proveedores de SecurityScorecard
Las soluciones de gestión de riesgos de proveedores (VRM) de TI ayudan a las empresas a evaluar, supervisar y gestionar los riesgos asociados al uso de productos, servicios y proveedores de TI de terceros que pueden acceder a sus datos. Hay muchas soluciones VRM de TI disponibles: todas ellas varían en su capacidad para identificar con precisión los activos de un proveedor y los posibles riesgos asociados a esos activos.
Sophos colabora con SecurityScorecard y su plataforma de VRM para apoyar a los clientes que utilizan herramientas de VRM de TI como parte de su proceso de adquisición. Para ver nuestra puntuación actual, consulte https://securityscorecard.com/security-rating/sophos.com.
