Acontinuación se describen las fichas de las categorías de servicios consideradas:

Son servicios destinados a la realización de auditorías de seguridad de carácter téc­nico que permiten analizar y establecer el nivel real de seguridad. La información obtenida de estas auditorías es muy valiosa, permite detectar vulnerabilidades y posibles amenazas de seguridad, estableciendo planes destinados a mejorar su ni­vel de seguridad.

También se incluyen en esta categoría los servicios destinados a la realización de au­ditorías posteriores a un evento o incidente de seguridad, para establecer las causas y las consecuencias reales del mismo.

Además están los servicios cuyo objetivo es la actualización sistemática y automati­zada de sistemas y aplicaciones, dirigida a la aplicación de parches y medidas para eliminar vulnerabilidades y fallos de seguridad.

Podemos encontrar las siguientes subcategorías dentro de los servicios de auditoría técnica:

• Test de intrusión

Son servicios de evaluación de la seguridad de los sistemas de protección peri- metral así como los sistemas que están accesibles desde internet.

• Hacking ético

Son servicios de auditoría para realizar pruebas en redes y encontrar vulnerabili­dades, para luego reportarlas y tomar medidas correctoras.

• Análisis de vulnerabilidades

Son servicios de auditoría que permiten conocer las vulnerabilidades de sistemas y aplicaciones, así como contraseñas débiles u otros agujeros de seguridad.

• Ingeniería de seguridad

Son servicios de estudio previo de la seguridad, donde se analizará el estado ac­tual y se obtendrá la información necesaria para diseñar una solución a medida.

• Auditorías de código

Son servicios destinados a identificar las posibles vulnerabilidades de un progra­ma, servicio o aplicación. Permiten conocer el nivel de seguridad de las aplicacio­nes utilizadas en sus sistemas de información.

• Auditoría de seguridad web

Son servicios destinados a dar a conocer el estado en el que se encuentra la apli­cación web, descubre cualquier tipo de fallo en la implementación de la aplica­ción o servicio web.

• Auditoría forense

Son servicios posteriores a un evento o incidente de seguridad, y están orienta­dos a identificar las causas que lo produjeron.

• Gestión de parches y vulnerabilidades

Son servicios destinados a la automatización de la actualización necesaria de los sistemas que evite la explotación de vulnerabilidades detectadas en otros siste­mas.

Escenarios de uso contemplados para los servicios de auditoría técnica:

• Diseño del plan de auditoría

Durante esta fase se determinan los objetivos, el alcance de la auditoria, los recur­sos, plazos, etc.

• Realización de auditoría

Etapa durante la cual se realiza el conjunto de análisis técnicos, ya sean preventi­vos o posteriores a un evento o incidente de seguridad.

• Análisis y elaboración de informe

Una vez recogida la información ésta es revisada y analizada y se procede a la elaboración de un informe de resultados, en el cual se indicarán un conjunto de recomendaciones y medidas para mejorar la seguridad o las deficiencias detec­tadas.

Beneficios ofrecidos al negocio por los servicios de auditoría técnica:

• permiten conocer, identificar y analizar los riesgos y vulnerabilidades, pudiendo reducir así sus impactos;
• son un paso fundamental antes de implementar medidas de seguridad;
• permiten mejorar los procesos de negocio desde el punto de vista de la seguri­dad y la gestión;
• permiten mejorar la imagen externa de la organización, ofreciendo mayores ga­rantías y niveles de seguridad.

Son servicios orientados a facilitar a las empresas y organizaciones la adecuación de cumplimiento normativo en materia de seguridad y obtención de certificados en es­tas normativas.

Se incluyen los servicios de orientados a la implantación de normativas de seguridad en las organizaciones; sistemas de gestión de seguridad de la información (SGSI), polí­ticas de seguridad, análisis de riesgos, etc. También se incluyen los servicios de certifi­cación, que tiene como objetivo acreditar y certificar las implantaciones de normativa realizadas, verificando y controlando si estas cumplen con los requisitos que indica cada norma.

Podemos encontrar las siguientes subcategorías dentro de los servicios de certificación norma­tiva:

• Sistemas de Gestión de la Seguridad de la Información (SGSI)

Los servicios SGSI son un conjunto de políticas de administración de la informa­ción según la normativa vigente. Contribuyen a asegurar los activos información de que disponen las organizaciones, validando su confidencialidad, integridad y disponibilidad. Los SGSI se gestionan con el marco normativo UNE ISO/IEC 27001.

• Análisis de riesgos

Son servicios que tienen como finalidad detectar los activos y procesos críticos y conocer sus vulnerabilidades, para implementar medidas de detección, protec­ción y recuperación de forma eficaz y efectiva.

• Planes y políticas de seguridad

Son servicios que tienen la finalidad de analizar los riesgos a los que se enfrenta una organización y tomar medidas necesaria para reducir el nivel de riesgo, reflejando una serie de normas y reglamentos donde se definan las medidas seguridad.

• Auditorías de seguridad y cumplimiento

Son servicios ofrecen la revisión y verificación de los niveles de seguridad y del cumplimiento de políticas y normativas.

• Certificación y acreditación

Son servicios para la obtención de los certificados asociados a la implantación de determinada normativa.

Escenarios de uso contemplados para los servicios de certificación normativa:

• Plan de implantación

Se corresponde con la selección del tipo de normativa a implantar y el estableci­miento de los objetivos, recursos, plazos, coste, etc.

• Auditoria y análisis de la situación

En este paso se estudia la situación de la organización respecto de la normativa que se trata de implantar para obtener un imagen lo más completa y detallada posible de la situación.

• Implantación de la normativa

Se corresponde con los trabajos específicos de implantación, elaboración de do­cumentación, formación a los trabajadores, elaboración de políticas, etc.

• Revisión y auditoría interna

Es el proceso de revisión interno de la implantación realizada. Se trata de verificar los trabajos realizados, identificar deficiencias y realizar las mejoras necesarias.

• Auditoría externa y certificación

La auditoría externa es el proceso de revisión realizado por entidades externas a la organización, necesario para la obtención de un certificado que acredita la validez conforme a la normativa de la implantación realizada.

• Mantenimiento y mejora continua

Proceso de revisión cíclico y continuo de la normativa implantada y proceso de mejora continua.

Beneficios ofrecidos al negocio por los servicios de certificación de normativa:

• permiten mejorar los procesos de negocio desde el punto de vista de la seguri­dad;
• permiten mejorar la imagen externa de la organización mediante las acreditacio­nes y certificaciones;
• permiten que las organizaciones puedan diferenciarse y destacar por su gestión de la seguridad;
• son también un mecanismo en manos de las organizaciones para promover la concienciación y formación en seguridad, las buenas prácticas y la aplicación de políticas de seguridad;
• permiten conocer, identificar y analizar los riesgos y vulnerabilidades existentes, pudiendo reducir así sus impactos.

Son servicios cuyo objetivo es realizar acciones encaminadas a contrarrestar y evitar interrupciones de las actividades del negocio y proteger sus procesos críticos ante incidentes y desastres de seguridad, garantizando la continuidad de los procesos de negocio.

Estos servicios facilitan la elaboración y aplicación de Planes de Contingencia y Conti­nuidad que permiten definir e implantar un marco tecnológico, funcional y operativo que garantice la continuidad de las funciones críticas del negocio en caso de contin­gencia, mejorando la disponibilidad y confidencialidad del tratamiento de la informa­ción.

Podemos encontrar las siguientes subcategorías dentro de los servicios de contingencia y conti­nuidad:

• Planes de contingencia y continuidad de negocio

Son servicios para el diseño e implantación de medidas y planes relacionados con la respuesta ante incidentes y desastres que afecten a la información, permi­tiendo restablecer la continuidad del negocio.

• Copias de seguridad remotas (backup)

Son servicios de almacenamiento de datos fuera de la organización, permitiendo la restauración de la información de forma inmediata en caso de robos o pérdida de datos.

• Custodia y archivo seguro

Son servicios de almacenamiento con fuertes medidas de seguridad y en un em­plazamiento distante de la organización.

• Centros de respaldo

Son servicios diseñados de réplica y almacenamiento que permiten a las organi­zaciones disponer de infraestructuras secundarias ante incidentes de seguridad.

• Análisis de impacto en el negocio (Business ImpactAnalysis, BIA)

Servicio destinado a la identificación de los procesos o actividades de cada una de las áreas del negocio, cuantificando el impacto ante incidentes de seguridad que puedan afectar al negocio. Define el plan de recuperación ante desastres.

• Gestión del ciclo de vida de la información

Son soluciones que permiten gestionar el ciclo completo de vida de la informa­ción, implementando políticas y mecanismos para garantizar el nivel de confi­dencialidad de la información.

Escenarios de uso contemplados para los servicios de contingencia y continuidad:

• Diseño general del plan

Servicios orientados a la definición del plan de contingencia, de su alcance, obje­tivos y métricas.

• Auditoria y análisis de la situación

Estos servicios van orientados a determinar la situación actual del negocio y la organización en cuanto a los riesgos de contingencia y continuidad de negocio.

• Proyecto de implantación

Elaboración del proyecto de implantación, fases, recursos, coste, etc. del plan de contingencia y continuidad de negocio.

• Implantación

Implantación de planes, medidas, sistemas, políticas, etc. relativas a contingencia y continuidad de negocio.

• Revisión y prueba

Servicios de evaluación de la implantación realizada, pruebas del sistema de ges­tión, copias de seguridad, sistemas de respaldo, etc.

• Mantenimiento y mejora continua

Servicios orientados a la revisión y mejora continua de los planes sistemas políti­cas.

Beneficios ofrecidos al negocio por los servicios de contingencia y continuidad:

• mejora la preparación ante desastres de seguridad que puedan afectar a la acti­vidad y negocio de las organizaciones;
• permiten que las empresas se puedan recuperar con rapidez y eficacia ante inte­rrupciones de su actividad, pérdida de recursos, etc;
• permiten garantizar la continuidad de los procesos de negocio ante incidentes y desastres de seguridad;
• son un mecanismo para la concienciación, implementación de buenas prácticas y aplicación de políticas de seguridad relativas a las situaciones de contingencia;
• permiten ofrecer mejores garantías de seguridad y niveles de servicio a nuestros clientes, partners y socios;
• permiten conocer, identificar y analizar los riesgos y vulnerabilidades, con un en­foque de continuidad de negocio, pudiendo reducir así sus impactos.

Son servicios que ayudan a las empresas a cumplir con la legislación vigente en materia de seguridad tecnológica o de seguridad de la información, como son la Ley Orgánica de Protección de Datos (LOPD), la Ley de Servicios de la Sociedad de la Información y el Comercio Electrónico (LSSICE), la Ley de Propiedad Intelectual (LPI) y otras.

Mediante estos servicios se ofrece apoyo y guía a las organizaciones desde el diseño a la auditoria, pasando por la implantación de las medidas de tipo jurídico, técnico y organizativo que garantizan el cumplimiento de la legislación.

Podemos encontrar las siguientes subcategorías dentro de los servicios de cumplimiento con la legislación:

• Consultoría legal

Son servicios de consultoría que permiten saber el estado actual de las empresas en materia de legislación, proporcionado servicios de formación e información necesaria sobre la normativa, funciones y obligaciones que se han de seguir.

• Adaptación a la legislación (implantación)

Son servicios destinados a llevar a cabo la adecuación de las empresas y organi­zaciones a la legislación aplicable, llevando a cabo la implantación de las medi­das de tipo jurídico, técnico y organizativo.

• Auditoría de legislación

Son servicios destinados a la realización de auditorías de nivel de cumplimiento de la legislación aplicable a una empresa u organización, con el fin de determinar y analizar si la empresa ha adoptado los cambios según la legislación.

• Asesoramiento legal

Son servicios de revisión del grado de cumplimiento en materia relacionada con la legislación aplicable relativa a la seguridad. También se incluyen los servicios de asesoramiento en procesos sancionadores.

• Borrado seguro

Son servicios que permiten realizar la eliminación de archivos, carpetas o unida­des lógicas de forma segura según la normativa vigente.

• Destrucción documental

Son servicios destinados a la destrucción de datos confidenciales y documentos, con el fin de evitar sanciones administrativas por incumplimiento con la legisla­ción.

Escenarios de uso contemplados para los servicios de cumplimiento legal:

• Diseño del plan de adecuación a la legislación

Determinación de la legislación a cumplir, plazos, objetivos, fases.

• Auditoria y análisis de la situación

Determinación de la situación actual del negocio y la organización respecto de la legislación a cumplir.

• Proyecto de implantación

Elaboración del proyecto de adecuación, fases, recursos, coste, soluciones, etc.

• Implantación

Proceso de adecuación, que incluye la implantación de las medidas de tipo jurí­dico, técnico y organizativo.

• Auditoría interna

Evaluación interna, por personal de la propia organización, de la implantación realizada, pruebas sobre las medidas implantadas, revisión de la documentación asociada, etc.

• Auditoría externa

En caso de que así lo requiera la legislación y muy recomendable tener un análisis externo de la situación real de la organización respecto del cumplimiento de la legislación aplicable.

• Mantenimiento y mejora continua

Revisión y mejora continua de la implantación y adecuación realizada, para el mantenimiento de la adecuación y el cumplimiento legislativo.

Beneficios ofrecidos al negocio por los servicios de cumplimiento legal:

• permiten a las empresas y organizaciones cumplir con la legislación aplicable y estar preparados ante posibles denuncias o incidentes de seguridad relativos al cumplimiento de la legislación;
• permiten mejorar los procesos de negocio desde el punto de vista de la seguri­dad y la gestión;
• permiten mejorar la imagen externa de la organización, ofreciendo mayores ga­rantías y niveles de seguridad;
• permiten que las organizaciones puedan diferenciarse y destacar sobre otras.
• ofrecen mecanismos para la concienciación y formación en seguridad, las buenas prácticas y la aplicación de legislación de seguridad;
• permiten ofrecer mejores garantías de seguridad y niveles de servicio a nuestros clientes, partners y socios;
• permiten conocer, identificar y analizar los riesgos y vulnerabilidades que afectan a la legislación, pudiendo reducir así sus impactos.