Consultoría SGSI

Consultoría regulatoria y de cumplimiento (ISO27000, HIPPA, PCI SOX)

Estamos aquí para ayudarlo con una fuerte metodología de seguridad de la Información, documentando procedimientos y asistiéndolo en la configuración y puesta a punto de las herramientas buscando un buen balance entre seguridad y las necesidades del negocio.

Tenemos la experiencia para implementar las soluciones correctas, o adaptar las soluciones implementadas, cumpliendo con los estándares necesarios de cada industria y mantener una organización segura y protegida.

Que es SGSI?

Un Sistema de Gestión de la Seguridad de la Información (SGSI) es un conjunto de políticas de administración de la información. El término se denomina en Inglés “Information Security Management System” (ISMS).

El término SGSI es utilizado principalmente por la ISO/IEC 27001, que es un estándar internacional aprobado en octubre de 2005 por la International Organization for Standardization y por la comisión International Electrotechnical Commission.

La ISO/IEC 27001 especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un Sistema de Gestión de la Seguridad de la Información (SGSI) según el conocido “Ciclo de Deming”: PDCA – acrónimo de Plan, Do, Check, Act (Planificar, Hacer, Verificar, Actuar), siendo éste un enfoque de mejora continua:

  • Plan (planificar): es una fase de diseño del SGSI de evaluación de riesgos de seguridad de la información y la selección de controles adecuados.
  • Do (hacer): es una fase que envuelve la implantación y operación de los controles.
  • Check (controlar): es una fase que tiene como objetivo revisar y evaluar el desempeño (eficiencia y eficacia) del SGSI.
  • Act (actuar): en esta fase se realizan cambios cuando sea necesario para llevar de vuelta el SGSI a máximo rendimiento.

El concepto clave de un SGSI es el diseño, implantación y mantenimiento de un conjunto de procesos para gestionar eficientemente la accesibilidad de la información, buscando asegurar la confidencialidad, integridad y disponibilidad de los activos de información minimizando a la vez los riesgos de seguridad de la información.

Como todo proceso de gestión, un SGSI debe seguir siendo eficiente durante un largo tiempo adaptándose a los cambios internos de la organización así como los externos del entorno.

Algunos puntos importantes a cubrir:

Política de seguridad

Su objetivo es garantizar a la empresa el soporte y gestión necesarios para la seguridad de la información según los requisitos institucionales y de acuerdo a estándares globales y mejores prácticas del mercado.

Organización en cuanto a la seguridad de la información

Su finalidad es instaurar un marco de referencia para definir el camino para la implementación y control de la seguridad de la información dentro de la empresa.

La dirección de la empresa es la responsable de establecer la política de seguridad, además debe establecer los roles de los comités y nombrar al responsable.

Gestión de activos

Este dominio tiene el objetivo de llevar a cabo una protección adecuada de los activos de la empresa tanto físicos como lógicos.

En todo momento los activos se deben encontrar inventariados y controlados por un responsable.

Seguridad de los recursos humanos

Su objetivo es fijar las medidas necesarias para controlar la seguridad de la información que se encuentra administrada por los recursos humanos de la empresa.

Seguridad física y del medio ambiente

Con este dominio se consigue proteger todas las instalaciones de la empresa y toda la información que maneja.

Por esto, se establecen diferentes barreras de seguridad y controles de acceso físico a la información.

Gestión de las comunicaciones y operaciones

El objetivo se encuentra en determinar los procesos y responsabilidades de las operaciones que lleva a cabo la organización.

Se debe asegurar que todos los procesos que se encuentren relacionados con la información sean ejecutados de forma confidencial, integra y en tiempo.

Control de acceso

Se asegura el acceso autorizado a todos los sistemas de información de la empresa.

Control de plataformas, sistemas aplicativos, políticas de contraseña, etc.

Adquisición, desarrollo y mantenimiento de los sistemas de información

Este dominio se encuentra dirigido a aquellas empresas que desarrollen software internamente o que tenga un contrato con otra empresa que se encarga de desarrollarlo.

Se tiene que establecer los requisitos durante el ciclo de vida del software y los datos para mantenerlos seguros.

Gestión de incidentes en la seguridad de la información

Con este dominio se aplica un proceso de manejo continuo y planes de acción ante cualquier tipo de incidente sobre la seguridad de los datos.

Gestión de continuidad de negocio

El objetivo es asegurar la continuidad operativa de la empresa.

Se requiere aplicar controles que eviten o reduzcan todos los incidentes de las actividades desarrolladas por la empresa que puedan generar un impacto.

Incluye cyber ataques y definición de entornos operativos mínimos ante desastres masivos.

Cumplimiento

Su finalidad es asegurar que los requisitos legales y/o regulatorios de seguridad de la información sean cumplidos.

Capacitación del personal

Definición y ejecución de una política de capacitación en seguridad de la información y manejo de datos para personal directivo y personal no técnico de la empresa.

Terceras partes

Revisión de seguridad en proveedores, clientes y terceras partes que manejen información de la empresas.