Consultoría en Seguridad Informática Madrid

Tranquilos, ya estamos aquí

SGSI

Un sistema de gestión de la seguridad de la información (SGSI) (en inglés: information security management system, ISMS) es, como el nombre lo sugiere, un conjunto de políticas de administración de la información.

La seguridad de la información, según ISO 27001, consiste en la preservación de su confidencialidad, integridad y disponibilidad, así como de los sistemas implicados en su tratamiento, dentro de una organización.

En el contexto aquí tratado, se entiende por información todo aquel conjunto de datos organizados en poder de una entidad que posean valor para la misma, independientemente de la forma en que se guarde o transmita (escrita, en imágenes, oral, impresa en papel, almacenada electrónicamente, proyectada, enviada por correo, fax o e-mail, transmitida en conversaciones, etc.), de su origen (de la propia organización o de fuentes externas) o de la fecha de elaboración.

En este sentido, se puede pensar que exageramos. Sin embargo conocer antes de contratar a nuestros empleados puede ser una garantía para nuestra empresa. Contratos que nos permitan llegar hasta sus redes sociales, conocer sus preferencias y el estilo de vida que llevan puede ayudarnos realmente a saber si es el o la candidata adecuada para el puesto que solicitamos.

Así mismo cualquier plaza que ocupe el candidato/a estará bajo vigilancia constante, aceptada por el individuo y firmando un uso aceptable de los sistemas de información que pondremos a su disposición mientras dure su contrato con nuestra empresa.

Por último y no menos importante, también deberá firmar una clausula de confidencialidad y de no acceder a ningún tipo de información de la empresa una vez finalizada su actividad para la que fué contratado/a.

"Invencible no es el que gana una o varias batallas, lo es el que no cae derrotado nunca"

Sun Tzu, El Arte de la Guerra

El seguimiento a los recursos que ofrecemos de nuestra organización a nuestros empleados y la confianza que depositamos en las empresas que acogemos en nuestras instalaciones no es motivo para no tomar las medias necesarias que garanticen la custodia de los datos de nuestros clientes en nuestros sistemas de la información.

Como consultores de seguridad informática le ofreceremos un plan que garantice todos estos puntos.

No en todas las empresas es necesario un delegado de protección de datos, pero si es obligatorio desde mayo de 2018 cumplir la legislación vigente en cuanto a una cautela proactiva por parte del responsable de los datos de garantizar una seguridad de la información que se deposita en el momento de cedernoslos.

El acceso a los datos de un equipo de información digital tiene que ser retenida por todos los medios posibles ante miradas curiosas. La trazabilidad de las acciones de un trabajador de una empresa pueden ser perjudiciales para todos, nuestros clientes, nuestra empresa, economía y reputación. Garantizar que los datos queden encriptados cuando nuestros equipos estén apagados dificultará en gran medida que tras un robo de información o la copia de archivos en medios extraibles sea de difícil acceso para terceros con la única intención de hacer mal a nuestra empresa y a nuestros clientes.

Un desarrollo de políticas para que nuestros empleados, visitantes y empresas colaboradoras accedan a nuestras instalaciones con una revisión auto crítica mínimo cada 180 días hará que mejoremos en todos los aspectos de la seguridad de nuestra empresa. El acceso a datos, información más o menos relevante o el acceso a diferentes dependencias de nuestras instalaciones quedará relegado sin excepción alguna a los protocolos establecidos en cada área. Estos protocolos podrán ser supervisados y modificados con el conocimiento única y exclusivamente del máximo responsable de la entidad, haciendo entender los riesgos que las instalaciones o la información puede correr en caso de no cumplir unos mínimos requisitos de seguridad en el acceso a nuestros sistemas de información, física o lógicamente.

En una ocasión le preguntaron al Director de la Policía Nacional, si creía que era bueno que hubiera diferentes cuerpos de seguridad, no solo a nivel nacional si no también a nivel local y autonómico. La respuesta fue contundentemente SI. Y no solo eso, si no que respondió alegando que quien vigilaba a quien y cuando. Más que nos pueda pesar, tener varios equipos de vigilancia que se desconozcan entre ellos pero que todos sepan que hay más ahí que hacen nuestra misma labor quitará de la cabeza a todo el mundo la posibilidad de incurrir en una falta que solo estando dentro del sistema puede ser detectada.

Llámenos si necesita asistencia urgente

677 288 288

Haremos que su empresa tenga

La gestión de riesgos es el pilar donde se asentará nuestra empresa. Hay contingencias que podemos asumir y otras que no. Lo que no se mide en costes, se puede medir en reputación y mala para nuestra marca si tenemos fisuras en la gestión de nuestra empresa y escapes o fugas de información relevante  y es por ello que el cumplimiento obligado de ciertas estrategias y su revisión de forma perseverante hará que podamos mitigar total o parcialmente todo aquello que acecha nuestra empresa.

Según MAGERIT (Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información), la Gestión del Riesgo debe:

  1. Establecer una Política de la Organización al respecto: directrices generales de quién es responsable de cada cosa.
  2. Establecer una Norma: objetivos a satisfacer para poder decir con propiedad que la amenaza ha sido conjurada.
  3. Establecer unos Procedimientos: instrucciones paso a paso de qué hay que hacer.
  4. Desplegar salvaguardas técnicas que efectivamente se enfrenten a las amenazas con capacidad para conjurarlas.
  5. Desplegar controles que permitan saber que todo lo anterior está funcionando según lo previsto.

También hay otras herramientas para el análisis de riesgos de la información como puede ser PILAR.

 

  • Establecimiento de una metodología de gestión de la seguridad clara y estructurada.
  • Reducción del riesgo de pérdida, robo o corrupción de información.
  • Los clientes tienen acceso a la información a través medidas de seguridad
  • Los riesgos y sus controles son continuamente revisados.
  • Aumento de la seguridad en base a la gestión de procesos en vez de en la compra sistemática de productos y tecnologías.

 

 

  • Confianza de clientes y socios estratégicos por la garantía de calidad y confidencialidad comercial.
  • Las auditorías externas ayudan cíclicamente a identificar las debilidades del sistema y las áreas a mejorar.
  • Posibilidad de integrarse con otros sistemas de gestión (ISO 9001, ISO 14001, OHSAS 18001…).
  • Continuidad de las operaciones necesarias de negocio tras incidentes de gravedad.

 

 

  • Conformidad con la legislación vigente sobre información personal, propiedad intelectual y otras.
  • Imagen de empresa a nivel internacional y elemento diferenciador de la competencia.
  • Confianza y reglas claras para las personas de la organización.
  • Reducción de costes y mejora de los procesos y servicio.
  • Aumento de la motivación y satisfacción del personal.

 

Expertos en Gestión de Riesgos

 

  • Físicas: soluciones hardware que aseguren la disponibilidad (p.ej. SAI) y la integridad (p.ej. RAID), principalmente.
  • Lógicas (informáticas): métodos algorítmicos que aseguran la autenticidad (p.ej. Firma electrónica) y confidencialidad.
  • Administrativas: conjunto de reglas que marcan el uso del sistema informático y que son de obligado cumplimiento.
  • Legales: sistema de medidas o normas que define la ley y cuya principal cualidad es el ser de carácter represiva.

 

 

 

 

TAMBIÉN HAY QUE CUMPLIR CON LA LEGISLACIÓN VIGENTE  GDPR

En mayo de 2018 será de obligatorio cumplimiento el nuevo reglamento para la protección de datos en toda la Unión Europea. Las reglas son complejas y las multas por su no cumplimiento son importantes (hasta 20 millones de euros) o un 4% de la facturación anual.

Bajo la GDPR, debes implementar un amplio rango de medidas para garantizar que reduces el riesgo de incumplimiento de la GDPR y para que te permita demostrar que te tomas la gestión de la información seriamente. Entre las medidas de responsabilidad necesarias se encuentran:

  • Evaluaciones del impacto de la privacidad
  • Auditorías
  • Revisiones de las políticas
  • Registros de actividad
  • Si es necesario, nombrar a un responsable de protección de la información (DPO).

 

ANÁLISIS DE VULNERABILIDADES

Para que su empresa este segura, hay que auditarla. ¿Hasta donde? Esta claro que usted nos facilitará los permisos necesarios para no traspasar aquellas barreras que no le interese. Encontraremos pues los fallos de facilidad de acceso a los sistemas de información así como las vulnerabilidades que encontremos en sus sistemas de información.

Nuestros servicios

PLANES DE CONTINGENCIA

A medida que las organizaciones dependen más de la tecnología, la disponibilidad de los servicios de TI es imprescindible para la continuidad de negocio. Esta alta disponibilidad se consigue mediante la definición e implementación de un Plan de contingencia para garantizar su rápida recuperación.

BRS. CONTINUIDAD DE NEGOCIO

Ofrecemos servicios BRS exclusivos diseñados por nosotros mismos: BackUp Recovery System define en si  la arquitectura  en la que operamos, entender los productos y servicios críticos, entender con qué barreras o interrupciones se puede encontrar y entender cómo la organización continuará posteriormente con su actividad.

ANALISIS DE RIESGOS

Proporcionamos un analisis enfocado a los riesgos que su organización pueda sufrir. Para ello diseñamos un plan estrategico que abarca un modelo para la creación , implementación de medidaas, funcionamiento óptimo y mínimo, supervisión y mejora de los sistemas de Gestión de la Información y la seguridad que la protege.

Análisis de vulnerabilidades de toda su infraestructura TIC

FORENSIA

Hacer las cosas antes de que ocurran, la prevención en informática  es la garantía que mitiga en gran parte la posibilidad de una catástrofe en nuestros servicios de información TIC.

 

PLANES DE CONTINGENCIA

La evolución de todo lo que nos rodea no puede hacernos sentir inmunes a cualquier desastre, provocado intencionadamente o no. La contingencia ofrece una clara tranquilidad.

 

La consultoría de seguridad informática da una visión de su posición de seguridad, diagnósticos y auditorías de la protección de datos. Trabajamos para definir reglas y estrategias correctas, orientar un modelo de funcionalidad eficiente y asegurar que su escenario de seguridad y operaciones de soporte a sus objetivos estratégicos y la continuidad del negocio.

La Seguridad Informática es una disciplina que trata de asegurar la integridad y la privacidad de los sistemas de la información. Cubre todos los componentes que forma un sistema de información: datos, software, hardware, redes, usuarios, etc.

Es importante conocer los aspectos legales que afectan a la seguridad informática, puesto que muchas de las veces vamos a estar moviéndonos en el límite de la legalidad. Estas leyes varían en función del país y del momento, por lo que es necesario mantenerse informado sobre estos aspectos y actualizarnos, si pretendemos realizar consultorías o simplemente experimentar los conceptos que se tratan en la Seguridad Informática.

Para definir la Política de Seguridad es necesario realizar un Análisis del Riesgo el cual nos permitirá discernir cuáles son los Activos que se deben proteger en función del valor que se le atribuya. Dicho valor puede ser de diferentes índoles: económico, estratégico, sentimental, etc. A partir del análisis de riesgo, debemos proceder con la Gestión del Riesgo que permite preparar una defensa contra el o los riesgos que se consideren oportunos, así como un plan de contigencia en caso de que los riesgos lleguen a ocurrir con el fin de que la afectación causada por dicho riesgo conlleve un impacto lo más bajo posible. Para discernir qué activos conviene proteger, es posible utilizar un Mapa de Activos, que no es más que un grafo en el que se visualizan las relaciones entre los distintos activos, permitiendo identificar los que son de mayor criticidad.

 

Llámenos si necesita ayuda

SERVICIO URGENTE DE SEGURIDAD INFORMÁTICA

677 288 288

Detección de riesgos y amenazas

Por muy pesados que seamos en este sentido, hagan caso cuando decimos que es necesario eliminar los usuarios administradores de nuestros equipos. Al menos no utilizarlos, para trabajar necesitamos un simple usuario sin permisos administrativos y solo el personal autorizado para ello debiese conocer el usuario administrador de todos y cada uno de los equipos de la organización.

No debemos tener redes en donde nuestros clientes naveguen por nuestra red, para ello debiese haber redes diferentes y en caso de no ser asi proteger ante todo nuestros propios equipos. Es más importante nuestros datos que la satisfacción de un cliente en un momento dado.  Estos RANSOMWARE se propaga tanto por discos duros como por los nodos de una misma red.

¿Necesita ayuda?

677 288 288

SUBIR

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.plugin cookies

ACEPTAR
Aviso de cookies