Ciberseguridad
Gobierno TI, Compliance y gestión del riesgo
Implementación de los procesos necesarios para la gestión de la seguridad de la información en una organización. Se tiene como referencia el marco ISO 27001 y el conjunto de controles marcados por la norma ISO 27002.
La implantación pasa por el desarrollo del cuerpo normativo derivado de una política de seguridad de la información, y ayuda a definir procesos como la gestión del riesgo, la implantación de salvaguardas o la implantación de procedimiento, como la gestión de incidentes de seguridad o el desarrollo de planes de continuidad de negocio.
Ayuda al cumplimiento de los requisitos de diferentes normas en el ámbito de la seguridad de la información, en función del contexto normativo de las organizaciones. Algunas normas que presentan requisitos de cumplimiento en el ámbito de la seguridad de la información son:
• PCI-DSS
• ENS
• RGPD
En todas ellas se requiere una gestión de la seguridad, cuyos procesos pueden implementarse en base a frameworks como la ISO 27001, y se sustentan en metodologías de análisis de riesgos como punto de partida para la implementación del sistema.
El gobierno IT engloba la gestión de la seguridad, pero también la gestión de otros procesos y servicios IT. Metodologías basadas en buenas prácticas, como ITIL para la implantación de ITAM/ITSM, o CMMI servicios permiten una correcta gestión y gobierno de la tecnología y la entrega de servicios basadas en ella.
MR Informática cuenta en su plantilla con profesionales expertos en el gobierno de la seguridad, como auditores de GRC, expertos en normativa y consultores de seguridad, con amplia experiencia en llevar adelante proyectos de adecuación, análisis de riesgos o planes directores de seguridad.
Para ello se tienen en cuenta metodologías de referencia en el contexto de gobierno y cumplimiento, como las normas ISO 27001, ISO 20000 e ISO 22301, y otros marcos de trabajo como CMMI servicios.
Estos profesionales cuentan con las certificaciones más exigentes en este ámbito, como, a modo de ejemplo, las siguientes:
- ISO 27001 Lead Auditor
- ISACA CISA o CISM
- RGPD DPD
Proyectos tipo
• Auditorías para preparación de certificaciones ISO 27001, ENS,
• Estudio de GAP de cumplimiento.
• Análisis de riesgos
• Planes directores de seguridad
Frameworks y Normativa
• ISO 27001, ISO 20000
• CMMI serv.
• ISO 22301
Servicios de Ciberseguridad
Múltiples servicios orientados a proteger la seguridad de la información mediante medidas técnicas utilizando tecnologías de seguridad. Podemos destacar tres servicios dentro del área de ciberseguridad:
Ingeniería de seguridad:
Implementación de soluciones de seguridad orientadas a proteger activos de las organizaciones. La ingeniería de seguridad cubre aspectos como el diseño seguro de redes, la configuración segura de elementos de sistemas o la implementación de medidas de seguridad perimetral. Parte de los trabajos de ingeniería vienen derivados de la implantación de controles que mitiguen los riesgos detectados en fases previas de auditoría, por lo que serían parte de consultorías de adecuación. La ingeniería de seguridad se implementa tanto en entornos on-premise como en entornos de nube pública o híbridos, por lo que los perfiles que prestan estos servicios deben tener conocimientos multidisciplinares en redes, sistemas, cloud computing, seguridad, etc…
Auditorías técnicas:
Orientadas a identificar errores de configuración o de diseño, vulnerabilidades que afecten a los sistemas de una compañía. En este servicio se realizan análisis de vulnerabilidades y tests de intrusión mediante técnicas de hacking ético, y se enfrentan configuraciones de componentes de un sistema complejo a guías o benchmarks de configuración segura y bastionado.
Administración de la seguridad:
Se trata de un servicio gestionado donde personal experto en la operación y la administración de elementos de seguridad se encargan de la operación diaria. Se trata de un servicio que puede prestarse a modo de asistencia técnica o a través de un equipo de técnicos multidisciplinares en modalidad remota.
Proyectos tipo
• Auditorías técnicas de revisión de estado de la seguridad.
• Análisis de vulnerabilidades y tests de intrusión
• Consultorías de adecuación
• Diseño e implantación de soluciones de seguridad
• Servicios de soporte y operación de la seguridad.
Perfiles
• Ingenieros de red.
• Consultores de ciberseguridad
• Administradores de elementos de seguridad (Firewalls, WAFs, pasarelas de correo, UTMs, SIEM,…)
Certificaciones profesionales
• Certificaciones de fabricantes
• Certificaciones técnicas de seguridad (CISSP, CCSP, CISA, CompTia Security+)
• Certificaciones de hacking ético (CEH, OSCP, CompTia Pentester)
Formación y concienciación
Este servicio da cobertura a requisitos de formación y concienciación que exigen la mayoría de las normas y estándares.
Formación cualificada para profesionales IT que necesiten conocimientos avanzados en ciberseguridad, cumplimiento normativo o administración de la seguridad, así como formación básica a usuarios en buenas prácticas o procedimientos como el reporte en la gestión de incidentes.
Desde este servicio se diseñan e implementan campañas de concienciación, orientada según perfiles dentro de una organización, que cubren el ciclo de formación–> prueba–> análisis de eficacia, mediante diferentes técnicas como píldoras formativas, la gamificación o las campañas ataques simulados de ingeniería social.
Proyectos tipo
• Elaboración de material formativo y de concienciación.
• Diseño e impartición de planes de formación a empresas.
• Programas específicos de formación especializada.
• Formación en tecnologías de fabricantes.
• Diseño y ejecución de campañas de concienciación.
Perfiles
Consultores de seguridad especializados en formación.
Frameworks, herramientas, certificaciones de empresa
• Partnership habilitados para formación de fabricantes (AWS ATP, Fortinet partner)
• Herramientas para diseño y ejecución de campañas de concienciación (Lucy, Kit de concienciación de Incibe)