Fichas de servicios de ciberseguridad

Acontinuación se describen las fichas de las categorías de servicios consideradas:

Auditoría técnica

DESCRIPCIÓN – ¿Qué es?

Son servicios destinados a la realización de auditorías de seguridad de carácter téc­nico que permiten analizar y establecer el nivel real de seguridad. La información obtenida de estas auditorías es muy valiosa, permite detectar vulnerabilidades y posibles amenazas de seguridad, estableciendo planes destinados a mejorar su ni­vel de seguridad.

También se incluyen en esta categoría los servicios destinados a la realización de au­ditorías posteriores a un evento o incidente de seguridad, para establecer las causas y las consecuencias reales del mismo.

Además están los servicios cuyo objetivo es la actualización sistemática y automati­zada de sistemas y aplicaciones, dirigida a la aplicación de parches y medidas para eliminar vulnerabilidades y fallos de seguridad.

SUBCATEGORÍAS – Tipos

Podemos encontrar las siguientes subcategorías dentro de los servicios de auditoría técnica:

  • Test de intrusión

Son servicios de evaluación de la seguridad de los sistemas de protección peri- metral así como los sistemas que están accesibles desde internet.

  • Hacking ético

Son servicios de auditoría para realizar pruebas en redes y encontrar vulnerabili­dades, para luego reportarlas y tomar medidas correctoras.

  • Análisis de vulnerabilidades

Son servicios de auditoría que permiten conocer las vulnerabilidades de sistemas y aplicaciones, así como contraseñas débiles u otros agujeros de seguridad.

  • Ingeniería de seguridad

Son servicios de estudio previo de la seguridad, donde se analizará el estado ac­tual y se obtendrá la información necesaria para diseñar una solución a medida.

  • Auditorías de código

Son servicios destinados a identificar las posibles vulnerabilidades de un progra­ma, servicio o aplicación. Permiten conocer el nivel de seguridad de las aplicacio­nes utilizadas en sus sistemas de información.

  • Auditoría de seguridad web

Son servicios destinados a dar a conocer el estado en el que se encuentra la apli­cación web, descubre cualquier tipo de fallo en la implementación de la aplica­ción o servicio web.

  • Auditoría forense

Son servicios posteriores a un evento o incidente de seguridad, y están orienta­dos a identificar las causas que lo produjeron.

  • Gestión de parches y vulnerabilidades

Son servicios destinados a la automatización de la actualización necesaria de los sistemas que evite la explotación de vulnerabilidades detectadas en otros siste­mas.

USO – Escenario de aplicación

Escenarios de uso contemplados para los servicios de auditoría técnica:

  • Diseño del plan de auditoría

Durante esta fase se determinan los objetivos, el alcance de la auditoria, los recur­sos, plazos, etc.

  • Realización de auditoría

Etapa durante la cual se realiza el conjunto de análisis técnicos, ya sean preventi­vos o posteriores a un evento o incidente de seguridad.

  • Análisis y elaboración de informe

Una vez recogida la información ésta es revisada y analizada y se procede a la elaboración de un informe de resultados, en el cual se indicarán un conjunto de recomendaciones y medidas para mejorar la seguridad o las deficiencias detec­tadas.

BENEFICIO – ¿Qué ofrece el negocio?

Beneficios ofrecidos al negocio por los servicios de auditoría técnica:

  • permiten conocer, identificar y analizar los riesgos y vulnerabilidades, pudiendo reducir así sus impactos;
  • son un paso fundamental antes de implementar medidas de seguridad;
  • permiten mejorar los procesos de negocio desde el punto de vista de la seguri­dad y la gestión;
  • permiten mejorar la imagen externa de la organización, ofreciendo mayores ga­rantías y niveles de seguridad.

 

Certificación de normativa

DESCRIPCIÓN – ¿Qué es?

Son servicios orientados a facilitar a las empresas y organizaciones la adecuación de cumplimiento normativo en materia de seguridad y obtención de certificados en es­tas normativas.

Se incluyen los servicios de orientados a la implantación de normativas de seguridad en las organizaciones; sistemas de gestión de seguridad de la información (SGSI), polí­ticas de seguridad, análisis de riesgos, etc. También se incluyen los servicios de certifi­cación, que tiene como objetivo acreditar y certificar las implantaciones de normativa realizadas, verificando y controlando si estas cumplen con los requisitos que indica cada norma.

SUBCATEGORÍAS – Tipos

Podemos encontrar las siguientes subcategorías dentro de los servicios de certificación norma­tiva:

  • Sistemas de Gestión de la Seguridad de la Información (SGSI)

Los servicios SGSI son un conjunto de políticas de administración de la informa­ción según la normativa vigente. Contribuyen a asegurar los activos información de que disponen las organizaciones, validando su confidencialidad, integridad y disponibilidad. Los SGSI se gestionan con el marco normativo UNE ISO/IEC 27001.

  • Análisis de riesgos

Son servicios que tienen como finalidad detectar los activos y procesos críticos y conocer sus vulnerabilidades, para implementar medidas de detección, protec­ción y recuperación de forma eficaz y efectiva.

  • Planes y políticas de seguridad

Son servicios que tienen la finalidad de analizar los riesgos a los que se enfrenta una organización y tomar medidas necesaria para reducir el nivel de riesgo, reflejando una serie de normas y reglamentos donde se definan las medidas seguridad.

  • Auditorías de seguridad y cumplimiento

Son servicios ofrecen la revisión y verificación de los niveles de seguridad y del cumplimiento de políticas y normativas.

  • Certificación y acreditación

Son servicios para la obtención de los certificados asociados a la implantación de determinada normativa.

USO – Escenario de uso

Escenarios de uso contemplados para los servicios de certificación normativa:

  • Plan de implantación

Se corresponde con la selección del tipo de normativa a implantar y el estableci­miento de los objetivos, recursos, plazos, coste, etc.

  • Auditoria y análisis de la situación

En este paso se estudia la situación de la organización respecto de la normativa que se trata de implantar para obtener un imagen lo más completa y detallada posible de la situación.

  • Implantación de la normativa

Se corresponde con los trabajos específicos de implantación, elaboración de do­cumentación, formación a los trabajadores, elaboración de políticas, etc.

  • Revisión y auditoría interna

Es el proceso de revisión interno de la implantación realizada. Se trata de verificar los trabajos realizados, identificar deficiencias y realizar las mejoras necesarias.

  • Auditoría externa y certificación

La auditoría externa es el proceso de revisión realizado por entidades externas a la organización, necesario para la obtención de un certificado que acredita la validez conforme a la normativa de la implantación realizada.

  • Mantenimiento y mejora continua

Proceso de revisión cíclico y continuo de la normativa implantada y proceso de mejora continua.

BENEFICIO – ¿Qué ofrece el negocio?

Beneficios ofrecidos al negocio por los servicios de certificación de normativa:

  • permiten mejorar los procesos de negocio desde el punto de vista de la seguri­dad;
  • permiten mejorar la imagen externa de la organización mediante las acreditacio­nes y certificaciones;
  • permiten que las organizaciones puedan diferenciarse y destacar por su gestión de la seguridad;
  • son también un mecanismo en manos de las organizaciones para promover la concienciación y formación en seguridad, las buenas prácticas y la aplicación de políticas de seguridad;
  • permiten conocer, identificar y analizar los riesgos y vulnerabilidades existentes, pudiendo reducir así sus impactos.

 

Contingencia y continuidad

DESCRIPCIÓN – ¿Qué es?

Son servicios cuyo objetivo es realizar acciones encaminadas a contrarrestar y evitar interrupciones de las actividades del negocio y proteger sus procesos críticos ante incidentes y desastres de seguridad, garantizando la continuidad de los procesos de negocio.

Estos servicios facilitan la elaboración y aplicación de Planes de Contingencia y Conti­nuidad que permiten definir e implantar un marco tecnológico, funcional y operativo que garantice la continuidad de las funciones críticas del negocio en caso de contin­gencia, mejorando la disponibilidad y confidencialidad del tratamiento de la informa­ción.

SUBCATEGORÍAS – Tipos

Podemos encontrar las siguientes subcategorías dentro de los servicios de contingencia y conti­nuidad:

  • Planes de contingencia y continuidad de negocio

Son servicios para el diseño e implantación de medidas y planes relacionados con la respuesta ante incidentes y desastres que afecten a la información, permi­tiendo restablecer la continuidad del negocio.

  • Copias de seguridad remotas (backup)

Son servicios de almacenamiento de datos fuera de la organización, permitiendo la restauración de la información de forma inmediata en caso de robos o pérdida de datos.

  • Custodia y archivo seguro

Son servicios de almacenamiento con fuertes medidas de seguridad y en un em­plazamiento distante de la organización.

  • Centros de respaldo

Son servicios diseñados de réplica y almacenamiento que permiten a las organi­zaciones disponer de infraestructuras secundarias ante incidentes de seguridad.

  • Análisis de impacto en el negocio (Business ImpactAnalysis, BIA)

Servicio destinado a la identificación de los procesos o actividades de cada una de las áreas del negocio, cuantificando el impacto ante incidentes de seguridad que puedan afectar al negocio. Define el plan de recuperación ante desastres.

  • Gestión del ciclo de vida de la información

Son soluciones que permiten gestionar el ciclo completo de vida de la informa­ción, implementando políticas y mecanismos para garantizar el nivel de confi­dencialidad de la información.

USO – Escenario de uso

Escenarios de uso contemplados para los servicios de contingencia y continuidad:

  • Diseño general del plan

Servicios orientados a la definición del plan de contingencia, de su alcance, obje­tivos y métricas.

  • Auditoria y análisis de la situación

Estos servicios van orientados a determinar la situación actual del negocio y la organización en cuanto a los riesgos de contingencia y continuidad de negocio.

  • Proyecto de implantación

Elaboración del proyecto de implantación, fases, recursos, coste, etc. del plan de contingencia y continuidad de negocio.

  • Implantación

Implantación de planes, medidas, sistemas, políticas, etc. relativas a contingencia y continuidad de negocio.

  • Revisión y prueba

Servicios de evaluación de la implantación realizada, pruebas del sistema de ges­tión, copias de seguridad, sistemas de respaldo, etc.

  • Mantenimiento y mejora continua

Servicios orientados a la revisión y mejora continua de los planes sistemas políti­cas.

BENEFICIO – ¿Qué ofrece el negocio?

Beneficios ofrecidos al negocio por los servicios de contingencia y continuidad:

  • mejora la preparación ante desastres de seguridad que puedan afectar a la acti­vidad y negocio de las organizaciones;
  • permiten que las empresas se puedan recuperar con rapidez y eficacia ante inte­rrupciones de su actividad, pérdida de recursos, etc;
  • permiten garantizar la continuidad de los procesos de negocio ante incidentes y desastres de seguridad;
  • son un mecanismo para la concienciación, implementación de buenas prácticas y aplicación de políticas de seguridad relativas a las situaciones de contingencia;
  • permiten ofrecer mejores garantías de seguridad y niveles de servicio a nuestros clientes, partners y socios;
  • permiten conocer, identificar y analizar los riesgos y vulnerabilidades, con un en­foque de continuidad de negocio, pudiendo reducir así sus impactos.

Cumplimiento legal

DESCRIPCIÓN – ¿Qué es?

Son servicios que ayudan a las empresas a cumplir con la legislación vigente en materia de seguridad tecnológica o de seguridad de la información, como son la Ley Orgánica de Protección de Datos (LOPD), la Ley de Servicios de la Sociedad de la Información y el Comercio Electrónico (LSSICE), la Ley de Propiedad Intelectual (LPI) y otras.

Mediante estos servicios se ofrece apoyo y guía a las organizaciones desde el diseño a la auditoria, pasando por la implantación de las medidas de tipo jurídico, técnico y organizativo que garantizan el cumplimiento de la legislación.

SUBCATEGORÍAS – Tipos

Podemos encontrar las siguientes subcategorías dentro de los servicios de cumplimiento con la legislación:

  • Consultoría legal

Son servicios de consultoría que permiten saber el estado actual de las empresas en materia de legislación, proporcionado servicios de formación e información necesaria sobre la normativa, funciones y obligaciones que se han de seguir.

  • Adaptación a la legislación (implantación)

Son servicios destinados a llevar a cabo la adecuación de las empresas y organi­zaciones a la legislación aplicable, llevando a cabo la implantación de las medi­das de tipo jurídico, técnico y organizativo.

  • Auditoría de legislación

Son servicios destinados a la realización de auditorías de nivel de cumplimiento de la legislación aplicable a una empresa u organización, con el fin de determinar y analizar si la empresa ha adoptado los cambios según la legislación.

  • Asesoramiento legal

Son servicios de revisión del grado de cumplimiento en materia relacionada con la legislación aplicable relativa a la seguridad. También se incluyen los servicios de asesoramiento en procesos sancionadores.

  • Borrado seguro

Son servicios que permiten realizar la eliminación de archivos, carpetas o unida­des lógicas de forma segura según la normativa vigente.

  • Destrucción documental

Son servicios destinados a la destrucción de datos confidenciales y documentos, con el fin de evitar sanciones administrativas por incumplimiento con la legisla­ción.

USO – Escenario de uso

Escenarios de uso contemplados para los servicios de cumplimiento legal:

  • Diseño del plan de adecuación a la legislación

Determinación de la legislación a cumplir, plazos, objetivos, fases.

  • Auditoria y análisis de la situación

Determinación de la situación actual del negocio y la organización respecto de la legislación a cumplir.

  • Proyecto de implantación

Elaboración del proyecto de adecuación, fases, recursos, coste, soluciones, etc.

  • Implantación

Proceso de adecuación, que incluye la implantación de las medidas de tipo jurí­dico, técnico y organizativo.

  • Auditoría interna

Evaluación interna, por personal de la propia organización, de la implantación realizada, pruebas sobre las medidas implantadas, revisión de la documentación asociada, etc.

  • Auditoría externa

En caso de que así lo requiera la legislación y muy recomendable tener un análisis externo de la situación real de la organización respecto del cumplimiento de la legislación aplicable.

  • Mantenimiento y mejora continua

Revisión y mejora continua de la implantación y adecuación realizada, para el mantenimiento de la adecuación y el cumplimiento legislativo.

BENEFICIO – ¿Qué ofrece el negocio?

Beneficios ofrecidos al negocio por los servicios de cumplimiento legal:

  • permiten a las empresas y organizaciones cumplir con la legislación aplicable y estar preparados ante posibles denuncias o incidentes de seguridad relativos al cumplimiento de la legislación;
  • permiten mejorar los procesos de negocio desde el punto de vista de la seguri­dad y la gestión;
  • permiten mejorar la imagen externa de la organización, ofreciendo mayores ga­rantías y niveles de seguridad;
  • permiten que las organizaciones puedan diferenciarse y destacar sobre otras.
  • ofrecen mecanismos para la concienciación y formación en seguridad, las buenas prácticas y la aplicación de legislación de seguridad;
  • permiten ofrecer mejores garantías de seguridad y niveles de servicio a nuestros clientes, partners y socios;
  • permiten conocer, identificar y analizar los riesgos y vulnerabilidades que afectan a la legislación, pudiendo reducir así sus impactos.