Diagnóstico

 

Alineación Estratégica de la ciberseguridad

Ofrecemos un Diagnóstico integral de Seguridad de la Información, permitiendo el diseño de un plan para la construcción de seguridad dentro de la organización. Basados en nuestro enfoque metodológico, iniciamos por el entendimiento del negocio y la identificación de sus activos y procesos más críticos, para así, determinar si la seguridad con la que cuenta la empresa es la que realmente requiere el negocio según sus necesidades operativas, sociales, financieras y de imagen.

En medio de esta cuarta Revolución Industrial como lo es la era de la Transformación digital que estamos viviendo en todos los mercados, experimentando diferentes cambios, tanto en la forma de acceder a la información, como en la manera de desarrollar negocios, y el consumo de tecnologías, requiriendo cada vez más presencia en entornos digitales para ser más competitivos, lo cual representa un verdadero desafío para los responsables de la Seguridad de la información.

Para mitigar el impacto que suponen todos los cambios y avances que trae consigo la transformación digital, esfera4 diseña un plan estratégico de seguridad de la información que contempla:

    • Realizar un diagnóstico técnico y de gestión (estrategia y operación) en Ciberseguridad, orientado a la identificación de vulnerabilidades y brechas. El diagnóstico se enmarca en las prácticas de auditoría conocidas como diagnóstico multi-normativo de ambientes de control, análisis de vulnerabilidades y ethical hacking.

    • Desarrollar métricas e indicadores con el fin de medir y robustecer en el tiempo los niveles de protección y respuesta en ciberseguridad.

    • Desarrollar un plan de trabajo (roadmap) con el fin de elevar los niveles de madurez de la organización en estas materias y por consiguiente, reducir el riesgo con el fin de disminuir posibles impactos – negativos- en las operaciones del negocio.
    • Generar el traspaso de conocimiento sobre el entendimiento de las brechas, métricas y plan de remediación al equipo interno de la organización sobre ciberseguridad.

Gestión del programa de ciberseguridad & continuidad del negocio

Entendemos la gestión de la continuidad Operativa como un proceso de gestión basada en el riesgo. Nuestra estrategia provee a las organizaciones de una gestión proactiva para atender la continuidad de las funciones críticas de la institución, la recuperación de las personas, procesos y tecnología ante posibles interrupciones, todo esto desde una manera óptima y sostenible.

Incorporamos las seis prácticas profesionales incluidas en el ciclo de vida del sistema de gestión de la continuidad operativa, prácticas que resaltan el factor de RESILIENCIA, considerando la aplicación en el tiempo de mejora continua con el fin de elevar los niveles de madurez de la continuidad operacional al interior de la organización.

Nuestro enfoque considera, que al menos, el BCP/DRP una vez implementado debería tener las siguientes capacidades:

    • Diagnosticar y analizar el riesgo de seguridad de la información, basado en los estándares líderes del mercado, con el fin de determinar los niveles de riesgo de los procesos de la organización en estas materias.
    • Alinear el análisis de riesgo de seguridad de la información y el enfoque de riesgo estratégico actual de la administración.
    • Analizar el ambiente de control levantado en el análisis de riesgo, con el fin de determinar controles (y su estado) en relación con la continuidad del negocio y su nivel de cumplimiento. Todo en relación con los requisitos de los estándares asociados a su rubro.

Gestión de riesgos Estratégicos y Operativos ligados a la Ciberseguridad

Nuestro servicio se basa en la comprensión del negocio y en la aplicación de estándares internacionales en materia de la gestión de seguridad de la información (familia ISO/IEC 27,000), enfocándonos en:

 

    • Diagnosticar y analizar el riesgo de seguridad de la información, basado en los estándares líderes del mercado, con el fin de determinar los niveles de riesgo de los procesos de la organización en estas materias
    • Alinear el análisis de riesgo de seguridad de la información y el enfoque de riesgo estratégico actual de la administración.
    • Analizar el ambiente de control levantado en el análisis de riesgo con el fin de determinar controles (y su estado) en relación a la continuidad del negocio y su nivel de cumplimiento en relación a los requisitos de los estándares asociados a su rubro.

GAP Analysis

Tenemos conciencia de los desafíos de CiberSeguridad a los que se enfrentan las Organizaciones actualmente, los cuales limitan la identificación y evaluación objetiva de la brecha existente, esto representa un riesgo latente en las empresas y la duda de saber si su información realmente está segura, pudiéndose ver envueltos en los siguientes escenarios:

 

    • Las evaluaciones se centran en el cumplimiento y no evaluar la verdadera postura de seguridad de la organización.
    • El equipo propio de seguridad no posee la experiencia y/o visión necesaria para realizar evaluaciones más allá de las herramientas que se ejecutan.
    • Las organizaciones han experimentado una violación o sospecha de pérdida de datos.
    • No existe claridad sobre los daños a la marca o pérdida económica para los eventos o incidentes de seguridad.
    • El ciclo de vida de desarrollo de software (SDLC) no incluye la seguridad centrada en no dejar códigos con puertas trasera
    • Los programas de seguridad y concienciación de seguridad son limitados o no existen. 

En esfera4, diagnosticamos los niveles de madurez en seguridad de la información de su empresa, mediante un análisis de brecha multinormativo, entregándole la oportunidad de madurar su organización, por medio del alineamiento a múltiples estándares líderes a nivel mundial, como son: ISO/EIC 27001, ISO 27001-02, ISO27032, NIST for Cybersecurity, COBIT5, ISA99, PCI, los 20 controles de seguridad del SANS Institute, entre otros.

Nuestro enfoque multinormativo nos permite :  

Evaluar
El cumplimiento de normas de seguridad bajo las cuales debe regirse su organización, desde la premisa de equilibrio entre el cumplimiento normativo y los objetivos que persigue su negocio.

Visualizar
El estado de gobierno y organización de la seguridad de la información, proporcionando un diagnóstico en el nivel de madurez organizacional en cuanto las mejores prácticas de seguridad y resguardo de la información.

Generar
Recomendaciones para la planificación de las acciones a seguir, para alcanzar el cumplimiento de los objetivos y estándares necesarios según el tipo de negocio.

    IDENTIFICAR

    La cadena de valor del negocio y la legislación aplicable/cumplimiento regulatorio

    EVALUAR

    La situación actual

    DISEÑAR

    Plan de S.I (Roadmap) de proyectos que permitan remediar las brechas detectadas sobre el estándar

    Ethical Hacking

    La constante y vertiginosa aparición de amenazas y riesgos cada vez más especializados e inteligentes, hace necesario poner a prueba diversos sistemas de información informáticos, detectando y explotando las vulnerabilidades existentes antes que otros agentes lo hagan de forma maliciosa, para detener la operación del negocio, tener acceso a información o afectar la imagen pública de la organización.

    Mediante nuestro servicio de Ethical Hacking, logramos identificar oportunidades de mejora, realizar detección de errores y vulnerabilidades, definir mejoras y recomendaciones, realizar comparación contra las mejores prácticas, identificar y documentar soluciones del mercado, definir el Estado del arte de la Compañía, documentar potenciales riesgos y justificar la asignación de recursos para remediación.