Consultoria

Los servicios de consultoría se prestan según el requerimiento del Cliente para mejorar el entorno de la Seguridad de la Información

Estretegia de Seguridad
Todos los servicios se basan en establecer un plan de seguridad, una estrategia que dirija los esfuerzos de seguridad de la Organización, que logre, de forma consistente, orientar la selección de los proyectos, la implementación de controles para construir una respuesta orquestada y consistente al problema de la Seguridad de la Información. Cada uno de los siguientes servicios y grupos de servicios pueden ser tomados de forma integral o modular según los requerimientos del Cliente.

  • Evaluaciones de Seguridad de la Información
    Las evaluaciones pueden tener diferentes puntos de vista. Luego de una evaluación en la cual se aplica metodologías y validaciones relevantes para cada tipo, el Cliente contará con información concreta y útil para tomar decisiones relevantes de negocio relativas a la SEguridad de la Información.

    • Evaluación de Seguridad en Aplicaciones
      Una aplicación tiene su propia arquitectura y enfrenta riesgos de diferentes tipos que deben ser identificados. Las aplicaciones pueden ser evaluadas tomando en cuenta su funcionalidad, implementación o gestión.

    • Evaluación de Seguridad informática en la Infraestructura de TIC
      Este tipo de evaluación implica la revisión de la arquitectura de red, arquitectura de seguridad y la gestión de la infraestructura de Tecnologías de Información y Comunicaciones TIC.

    • Evaluación de Seguridad en la Gestión de Tecnologías de Información
      En este caso el enfoque es el proceso de gestión de Tecnologías, sus participantes, stakeholders y las posibles implicaciones en la Seguridad de la Información.

    • Evaluación de Seguridad Física
      El acceso físico es un punto importante en la Ciberseguridad y en la Seguridad de la Información. Al otorgar acceso físico a activos de información se puede ceder el control sobre los mismos y este servicio busca identificar la situacion actual de los controles físicos que existen.

  • Gestión de Riesgo Tecnológico
    Según los estándares internacionales de clase mundial como ISO/IEC 27000 y CKB, la solución para tener un entorno seguro para los sistemas de información de una organización, es tener un manejo consistente de los riesgos. Una estrategia de gestión de riesgos consta de varios componentes que deben ser incluidos en el ciclo de gestión de las organizaciones. Con este servicio se podrá integrar estos criterios en los procesos de operación normales que regularmente se llevan a cabo para la gestión de los sistemas de información.
    Este servicio se presenta como modular, siendo los siguientes sus componentes.

    • Análisis de Riesgos
      Este servicio se orienta a la aplicación de una metodología de Análisis de riesgos en la organización orientado a identificar, evaluar y priorizar acciones dentro de un plan de tratamiento de riesgos. Idealmente, recibe como entrada los ejercicios de otros servicios y considera el contexto de la organización.
      Entre los primeros pasos necesarios para establecer una línea base de seguridad consta el realizar un análisis de riesgo para los Sistemas de Información, el servicio puede orientarse a un conjunto de activos de información que se determine al inicio de la ejecución del mismo. Se aplican los principios de análisis de riesgos documentados en metodologías como ISO/IEC 27005. El resultado de un análisis de riesgos consistentemente realizado puede allanar el camino de otros esfuerzos dentro de la Estrategia de Seguridad de la Información.

    • Caracterízación de Amenazas
      Como parte de la metodología de gestión de riesgos, este paso consiste en identificar y caracterizar las amenazas patentes en un sistema de información. Aunque se puede brindar este servicio de forma aislada o independiente, realmente es una parte de la gestión de riesgo tecnológico, la cual se presenta en módulos de servicio, siendo éste uno de sus componentes. Para los clientes que ya tienen una estrategia de gestión de riesgos en funcionamiento, viene bien un refrescamiento de las amenazas que podrían estar presentes en los diversos entornos de operación de los sistemas de información.

    • Ethical Hacking
      Consiste en realizar pruebas técnicas de vulnerabilidad en modalidad de caja gris, con información mínima sobre los elementos de la prueba. Las pruebas se aplican sobre elementos de infraestructura de computación y comunicaciones, como equipo de comunicaciones, servidores, estaciones de trabajo, así como sobre elementos que manejan bases de datos y aplicaciones. Identificadas las vulnerabilidades y los vectores de ataque se puede ejecutar las acciones para realizar una prueba de penetración, en la cual se busca explotar alguna de las vulnerabilidades encontradas en las fases anteriores.
      Las prueba se se suelen realizar desde dos puntos de vista: Externo: con acceso a los elementos desde Internet, e Interno: con acceso físico a la red interna del cliente para obtener conectividad hacia los elementos de la prueba y recursos mínimos tal como tendría un funcionario interno, uno externo (como un proveedor) o un visitante que se conecta a la red y obtiene un nivel de acceso mínimo que le permite interactuar con los objetos de la prueba.

    • Pruebas de Ingeniería Social
      Es un componente de las pruebas internas que se llevan a cabo sobre los usuario y sus debilidades para otorgar información clasificada o confidencial a un tercero que no pertenece a la organización .

  • Construcción de un Sistema de Gestión de Seguridad de la Información
    Si se identifica como valioso el componente de gestión de la Seguridad, es clave un proyecto exitoso de implementación de un Sistema de Gestión de Seguridad de la Información. El servicio puede ser parte de una estrategia que tendiente a obtener la certificación de cumplimiento de la norma ISO27001, aunque no necesariamente see persigue la certificación como objetivo principal. En el caso que una organización haya transitado parte de este camino, las actividades pueden ser modulares y se identifican las siguientes:

    • Análisis de Brecha
      Un "Gap Analysis" revelará qué tan lejos está una organización de una línea base de cumplimiento. Es importante establecer inicialmente cuál es esta línea base, que típicamente es la norma ISO de Seguridad de la Información, pero podría tratarse de otra normativa:

      • ISO 27001
      • ISO 27002
      • PCI/DSS
      • Regulaciones locales (Superintendencias, Gobierno, Entidades de control)
      • EGSI - Esquema Gubernamental de Seguridad de la Información

        • En cada uno de los casos, se realizará una validación del nivel de cumplimiento de una organización respecto a la normativa de Seguridad de la Información seleccionada.

    • Declaración de Aplicabilidad
      Este servicio persigue documentar y sustentar la selección de controles de seguridad de la norma ISO27002.

    • Establecer el Esquema de Clasificación de Activos de Información
      Según el sector al que pertenezca una Organización, podría o no tener una prescripción de clases de información determinados por diferentes niveles de acceso, criticidad o confidencialidad. Ya que es potestad de las Organizaciones la definición de dichas clases, se propone un acompañamiento para establecer el esquema que sea más conveniente y aplicable.

    • Políticas y Procedimientos de Seguridad
      En algunos de los cuerpos normativos hay un conjunto de Políticas de Seguridad recomendadas, el servicio busca el establecimiento de los documentos normativos internos que serían las Políticas de Seguridad en cada caso. El escenario ideal es que las Políticas y Procedimientos de Seguridad sean interiorizados por los distintos niveles de la Organización.

    • Organización del Area de Seguridad de la Información
      El servicio busca identificar y recomendar los perfiles profesionales de los responsables de seguridad y si es necesario su equipo operativo, sus líneas de reporte y ubicación dentro de una Organización.

    • Planes de Concientización
      El esfuerzo de concientización debe ser llevado a cabo de forma periódica y permanente, el servicio establecerá una planificación en la cual se apliquen los recursos con los que la Organización pueda contar para aplicar un esquema de concientización acorde a las necesidades particulares del negocio y la importancia de los activos de información.

Servicios de Capacitación | Servicios de Implementación | Alianzas