Seguridad y optimización · nivel de seguridad y acceder a los informes del servicio. Beneficios:...
11
Seguridad y optimización ...con visión de negocio Catálogo de Servicios y Consultoría
Transcript of Seguridad y optimización · nivel de seguridad y acceder a los informes del servicio. Beneficios:...
Seguridady optimización
...con visión de negocio
Catálogo de Servicios y Consultoría
¿Qué es la seguridad? ¿Es proteger, resguardar, evitar, prevenir...? En Unitronics es garantizar y mejorar, es poner la tecnología al servicio del negocio.
Hemos adaptado el concepto de Seguridad a las necesidades del mercado. 40 años de experiencia en el sector IT nos permiten disponer de una visión clara de las necesidades del negocio de cada organización y adaptar los avances tecnológicos a dichas necesidades, con una visión de futuro, pero sin perder el contacto de la realidad.
El concepto de seguridad ha cambiado y en Unitronics impulsamos la transformación. Ponemos a disposición de nuestros clientes un conjunto de Servicios Gestionados con el objetivo de formar parte viva y proactiva de sus necesidades de continuidad del negocio. Actuamos como guías en sus decisiones de inversión IT y mejora de sus procesos, proporcionando consultorías y auditorías de Seguridad y Calidad de Servicios que le ofrecen una visión real de sus necesidades.
¿Por qué Unitronics?El posicionamiento de Unitronics como integrador líder en proyectos mul-titecnológicos (Seguridad y Optimización, Networking, Sistemas, Infor-mation Management, Connected Building, Virtualización, Telepresencia, Comunicaciones Unificadas) nos permite ofrecer a nuestros clientes res-puestas completas a sus necesidades de seguridad desde cualquier pers-pectiva y completar el ciclo de vida de toda infraestructura IT.
Recursos para la prestaciónCapital Humano: Más de 350 ingenieros, en tres niveles de especialización, 100% plantilla Unitronics.Materiales: 2 Centros de Servicios Gestionados (Madrid, Barcelona), herra-mientas comerciales y desarrollo propios (Cuadro de Mando, CMDB, etc).Procedimientos: Los servicios gestionados de seguridad de Unitronics tie-nen certificación ISO27001 / ISO20000 y utilizan las metodologías habitua-les (ITIL, OSSTMM, etc).
SERVICIOS GESTIONADOS
SEGURIDAD
• ServiciodeGestióndeEventosdeSeguridad(SIEM)• ServiciodeGestióndeVulnerabilidades• GestiónOperativadelCambio
CALIDAD DE SERVICIO
• GestióndeRendimientodeAplicaciones(APM)
AUDITORÍAS Y CONSULTORÍAS
SEGURIDAD
• PlanDirectordeSeguridadPDSI• ConsultoríadeOptimizacióndeReglasdefirewalls• HackingÉtico(Web,Voz/IP,Interno,Externo)• AuditoríadeSeguridaddeBBDD• AnálisisForense
CALIDAD DE SERVICIO
• ConsultoríadeCalidaddeServicios
ADAPTACIÓN Y CUMPLIMIENTO
• ConsultoríadeadecuaciónsobreInfraestructurasCriticas• ConsultoríadeAdaptaciónalEsquemaNacionaldeSeguridad• AuditoríadeCumplimientoLOPD• ConsultoríaparaadecuaciónISO27001
3
SolucionesUnitronics
Los elementos que forman las redes y sistemas de las organizaciones generan de manera continuada gran cantidad de información sobre su actividad, principal-
mente a través de logs. Esta información, correc-tamente analizada e interpretada puede propor-cionar un gran valor sobre el estado de seguridad de la organización; permitiendo además detectar incidentes en el mismo momento en que se pro-duzcan y actuar en tiempo real para minimizar su impacto.
El correcto tratamiento e interpretación de esta información requiere de herramientas cos-tosas, de un gran conocimiento y experiencia que permita sacarles partido y de un conjunto de pro-cedimientos adecuado que hagan posible un tra-tamiento eficiente de los incidentes dectectados.
¿En qué consiste el Servicio? El Servicio gestionado ofrecido desde los Centro de Servicios Gestionados de Unitronics (Madrid – Barcelona) que facilita la recolección, almacena-miento y correlación de la información generada por los activos bajo cobertura del servicio detec-tando y tratando en tiempo real los incidentes de seguridad que se puedan producir. Todo ello sin tener que incurrir en proyectos costosos y de lar-ga duración.
Alcance del servicio: • Elservicioprestadoincluyelasherramientasne-
cesarias, el ajuste de las mismas y el procesado de la información de manera transparente.
• Gestiónproactiva24x7yentiemporealdein-cidentes de seguridad.- Estudio y análisis de los incidentes detectados- Eliminación de falsos positivos- Notificación de la información del incidente y
de cómo resolverlo• Generacióndeinformesperiódicos.• Accesoaportalconcuadrodemandopersona-
lizable, con indicadores de riesgo y severidad, que permite monitorizar, en todo momento, el nivel de seguridad y acceder a los informes del servicio.
Beneficios: • Minimizaelimpactodeincidentesdeseguridad
gracias a la detección temprana, al tratamiento en tiempo real y a la pro-actividad sobre com-portamientos anómalos.
• Reduccióndecostesasociadosalaseguridad(economía de escala).
• Personal especializado en respuestas a inci-dentes de seguridad.
• Servicio24x7brindadodemaneraredundantedesde 2 Centro de Servicios Gestionados (Ma-drid, Barcelona).
• Rápidaimplementaciónygestiónescalable.• Garantíadecalidadybuenasprácticasgracias
a la certificación ISO 27001 e ISO 20000 del servicio por BSI.
• Ofreceinformaciónrelevanteparaauditoríasycumplimiento normativo.
Actualmente las valoraciones de las tecnologías de la información se realizan con una mezcla de explo-ración de vulnerabilidades, test de
penetración y auditorías de seguridad. Los componentes TI están continuamente
expuestos a debilidades conocidas, cuyo apro-vechamiento de manera intencionada puede reportar beneficios económicos a un atacante y/o pérdidas económicas y de credibilidad a la organización que lo sufre.
¿En qué consiste el Servicio? El servicio gestionado proporcionado des-de los Centro de Servicios Gestionados de Unitronics tiene como objetivo el de reducir el tiempo de exposición de las organizacio-nes a las vulnerabilidades de seguridad que aparecen continuamente. Esto se consigue mediante la comprobación fehaciente de la existencia de vulnerabilidades de seguridad en los activos bajo cobertura del servicio, su clasificación según severidad, la notificación de toda la información del detalle de las vul-nerabilidades detectadas, de cómo cubrirlas y su evolución en el tiempo.
Alcance del servicio: • Análisisexternodeactivosvisiblesdesdein-
ternet a través de sondas de descubrimien-to instaladas en los Centro de Servicios Ges-tionados de Unitronics.
• Análisis interno utilizando sondasdedes-
cubrimiento instaladas en la red del cliente con visibilidad de los activos objeto del es-tudio y gestionadas y coordinadas desde los Centro de Servicios Gestionados de Unitro-nics.
• Elservicioprestado incluye lasherramien-tas necesarias, el ajuste de las mismas y el procesado de la información de manera transparente.
• Generación de informes analíticos periódi-cos.
• Portal conuncuadrodemandopersonali-zable que permitirá al cliente monitorizar, en todo momento, su nivel de seguridad y acceder a los informes del servicio.
Beneficios: • Minimizaelnivelderiesgodelasorganiza-
ciones reduciendo al máximo la ventana de exposición a vulnerabilidades.
• Evita pérdidas económicas derivadas deuna incidencia potencial de la cual se sabe su resolución de antemano.
• Elevalaeficienciaylaeficaciadelagestiónoperativa de la seguridad en su conjunto, predominando las actividades preventivas sobre las reactivas.
• Asegurar el correcto tratamiento de inci-dentes reales de seguridad.
• Tenerunavisiónmásnítidasobrelaactivi-dad real de seguridad en la organización y complementar las estadísticas e informes corporativos al respecto.
Servicios Gestionados
01
Servicio de Gestión de Eventos de Seguridad SIEM Servicio de Gestión de Vulnerabilidades
54
Seguridad
Lo que no se puede medir, no se puede gestionar
Seguridadproactiva
La productividad de las empresas cada vez está más vinculada a aplicaciones TI que son críticas para el negocio. Los úl-timos análisis revelan que el número de
estas aplicaciones crecerá exponencialmente en los próximos años. La falta de visibilidad y anti-cipación ante posibles problemas en tiempos de respuesta o perdidas de servicio, constituyen una de las principales preocupaciones de los respon-sables de TI.
Así mismo, aquellas organizaciones que son capaces de medir la calidad de sus servicios y el grado de satisfacción de los usuarios respecto al uso de los mismos, son capaces de aumentar sig-nificativamente la reputación ante sus clientes, del mismo modo que su productividad.
¿En qué consiste el Servicio?El servicio, prestado desde los Centro de Servi-cios Gestionados de Unitronics, se basa en la mo-nitorización continua de la calidad de los servicios críticos para el negocio del cliente y en la detec-
ción temprana y gestión avanzada de incidencias sobre estas aplicaciones y los elementos secun-darios que afecten a las mismas.
Las principales funcionalidades de este servicio son las siguientes:
• Deteccióndecomportamientosanómalos• Desviacionesdelcomportamientodeaplicacio-
nes• Monitorizacióndecalidaddeservicios• Alertatempranadeincidencias• Alerta tempranadeniveles críticos de rendi-
miento• Resolucióntempranadeincidenciasbasadaen
análisis forense
Beneficios:Un cambio de enfoque de monitorización tecno-lógica a monitorización de servicios de negocio, que permitirá ofrecer a los usuarios/clientes, unos servicios que cumplan con sus expectativas.
Gestión de Rendimiento de Aplicaciones APM
01 Servicios gestionados / Calidad de Servicio
7
Asegurando la calidad de tus servicios
Los firewall son elementos que, en de-terminados entornos, suelen tener una gestión compleja y activa, tanto por ame-nazas como por adaptación al negocio.
Muchos de ellos contienen cientos e incluso miles de reglas que un momento determinado pueden llegar a tener un impacto negativo en lo que a rendimiento, administración y seguridad se refie-re.Reglasyobjetossonelementosdelosfirewallque se suelen solapar y duplicar sin que el admi-nistrador tenga consciencia en muchos casos de ello y de su impacto.
¿En qué consiste el Servicio? La consultoría tiene como objeto la comproba-ción de las acciones que la empresa ha adoptado como internas y obligatorias para cumplir con los requisitos establecidos en la legislación, tanto desde el punto de vista jurídico, como técnico y organizativo.
Beneficios: • Reducción del consumo de recursos de los
firewall debido a la eliminación de elementos innecesarios, lo que se traduce en una mejora del rendimiento.
• Reduccióndelacomplejidaddereglas,loquese traduce en una administración más fácil.
• Reduccióndelnivelderiesgo.• Evitarpérdidaseconómicasderivadasdeuna
incidencia potencial de la cual se sabe su reso-lución de antemano.
La optimización de firewalls, incluye la identificación de:
REGLAS• Reglasnoutilizadas• Reglasduplicadas• Reglasespecialesredundantes• Reglasdeshabilitadas• Reglasinactivaseneltiempo• Reglasconunacláusuladetiempo• Reglassinlogging• Reglasmenosymásusadas• Reglassincomentarios• Reglasconcomentariosquenocumplenla
política de seguridad corporativa
OBJETOS • Objetosnoanexados• Objetosvacios• Objetosduplicados• Objetosnoutilizados• Objetosnousadosconreglas
VPN • Usuariosexpirados• Usuariosnoanexados• Gruposdeusuariosnoanexados
Consultoría de Optimización de reglas de firewall
Auditoría y Consultoría
02
Los nuevos modelos de negocio y la convergencia tecnológica obligan a las empresas modernas a cambiar su vi-sión alrededor de la administración de
la seguridad. Los beneficios que ha generado la convergencia tecnológica para el negocio son indiscutibles, pero también son una de las prin-cipales causas de inseguridad. Eso se debe a la coexistencia de políticas y concepciones diferen-tes, y es por esto que las empresas de hoy en día están obligadas a hablar de procesos de Segu-ridad convergentes alineados a las necesidades del negocio.
¿En qué consiste el Servicio? Ofrecer una visión realista del nivel de seguridad de la organización, así como establecer las me-didas correctoras a corto, medio y largo plazo acorde al ámbito del negocio.En la consultoría no solo se abordan medidas técnicas si no también políticas y organizativas con el fin de alcanzar y garantizar los objetivos corporativos.
Dentro de las áreas enmarcadas en el Plan Direc-tor de Seguridad se incluyen:
• SeguridadOrganizativa• PolíticadeSeguridad• Aspectosorganizativosdelaseguridad• Clasificaciónycontroldeactivos• Gestión de incidentes de seguridad de la
información• Seguridadderecursoshumanos• Gestióndelacontinuidaddelnegocio
• SeguridadLógica• ControldeAcceso• Adquisición,desarrolloymantenimientode
Sistemas• Gestióndecomunicacionesyoperaciones
• SeguridadFísica• Seguridadfísicaydelentorno
• SeguridadLegal• Conformidad
Beneficios: • IdentificalosrequisitosorganizativosdelaSe-
guridad sobre los Sistemas de Información.• Nosdaunavisióndelestadorealdelaseguri-
dad (Medidas existentes y puntos débiles).• Analizalosriesgos,sugestiónyloscontrolesa
implantar para su reducción.• Ayudaadiseñar la líneaestratégicaaseguir
para garantizar la continuidad del negocio en términos de Seguridad de la información.
• Alinealaseguridadylainversiónsobrelamis-ma a las necesidades del negocio.
Plan director de Seguridad de la información PDSI
98
Seguridad
Con procedimientos, hay seguridad
Marcando el camino
La información de los aplicaciones críticas de las compañías se almacena y gestiona en su mayoría a través de Bases de Da-tos estructuradas. Esto hace que la dis-
ponibilidad y seguridad de este tipo de sistemas sea crítica.
Existen múltiples amenazas, que es necesario considerar en este tipo de sistemas, como son el aprovechamiento de vulnerabilidades no par-cheadas, la elevación de privilegios debida a po-líticas de acceso débiles o el mal uso de accesos legítimos.
Conocer y mitigar las amenazas que pueden afectar a las Bases de Datos críticas es de gran importancia para mantener seguros los datos que alojan.
¿En qué consiste el Servicio? Unitronics, a través de este servicio, proporcio-na a sus clientes un análisis de la seguridad de sus Bases de Datos críticas, llevando a cabo las siguientes tareas: • DescubrimientodeBasesdeDatosexistentes
en la organización.• UnanálisisdelniveldeseguridaddelasBases
de Datos definidas a nivel de vulnerabilidades y buenas prácticas.
• Lageneracióndeuninformequeindiquelasvulnerabilidades y prácticas no adecuadas descubiertas así como las recomendaciones para la corrección de las mismas.
Beneficios: • Tenerconocimiento realde losposibles inci-
dentes de seguridad que se puedan generar derivados del aprovechamiento de las vulnera-bilidades existentes.
• Disponerdeunplandeacciónparaminimizarel nivel de riesgo ante amenazas en este entor-no tan crítico.
• Tenerunavisiónmásnítidasobrelaactividadreal de seguridad en la organización y comple-mentar las estadísticas e informes corporati-vos al respecto.
• Ofreceinformaciónrelevanteparaauditoríasy cumplimiento normativo dado que las Bases de Datos son componentes clave.
Auditoría de Seguridad en Bases de Datos
Los ataques de seguridad inciden directa-mente sobre factores claves del negocio para la organización (credibilidad, perdida de información, continuidad del negocio
etc.). Toda organización debe ser consciente de sus debilidades y los riesgos que estas puedan generar, con el objetivo de plantear medidas co-rrectivas.
¿En qué consiste el Servicio? Penetración controlada en los sistemas TI de la organización simulando la actuación de hackers de forma ética (previa autorización por parte del cliente). Permite identificar las vulnerabilidades de un sistema, aplicación, red o proceso de nego-cio completo, pudiéndose llegar a explotar dichas vulnerabilidades para evaluar la efectividad de los mecanismos de seguridad implementados.
Modalidades del servicio: • HackingÉticoExternoCajaBlanca:Elanálisises
externo al perímetro de la empresa y se cono-cen los elementos a atacar (IP, servidores etc…).
• HackingÉticoExternoCajaNegra:Elanálisisesexterno al perímetro de la empresa pero a di-
ferencia del Hacking Caja Blanca, se desconoce cualquier información (Implica mayor proceso de descubrimiento de elementos).
• HackingÉticoInterno:Análisisdentrodelperí-metro de seguridad de la empresa.
• HackingÉticoWeb:Elanálisissecentraenlosportales y aplicaciones web, siguiendo técnicas específicas para este entorno.
• HackingÉticoVoIP:Deteccióndevulnerabilida-des en infraestructuras de VoIP.
Beneficios: • Elaborarunalíneabasedemejoradelaseguri-
dad corporativa.• Permiteconocerelestadoactualdelaseguri-
dad corporativa, sin tener que abordar un plan director (mucho más ambicioso, extenso, for-mal y completo).
• Permite tener una visión más nítida sobre laactividad real de seguridad en la organización y complementar las estadísticas e informes cor-porativos al respecto.
• Ayudaenlarealizacióndeauditoríasdeseguri-dad internas o externas.
• Ayudaacumplimientonormativo.
Hacking Ético
1110
02 Auditoría y Consultoría / Seguridad
Conoce tus debilidades
Para las organizaciones de hoy en día, las redes de comunicaciones constituyen uno de los principales activos, ya que sobre ellas se ejecutan la mayoría de los
procesos de negocio.Conocer cuál es el estado de “salud” de estas
redes es el primer paso para poder decidir las ac-ciones que se deben tomar para que los procesos de negocio funcionen de forma satisfactoria y así optimizar las necesidades de inversión.
¿En qué consiste el Servicio? Basándose en el estudio previo de la infraestruc-tura y los servicios que se ejecutan sobre la mis-ma y apoyándose en tecnologías no intrusivas, Unitronics ofrece a sus clientes la posibilidad de conocer el estado real de su red de comunica-ciones, mediante la realización de las siguientes actividades:• Generacióndemapadereddetallado• Análisisdeconfiguraciones• Análisis de rendimiento del equipamiento de
red• AnálisisdeusodeLAN/WAN• Análisis de actividad de servidores/usuarios
(origen/destino de las comunicaciones, consu-mo de ancho de banda, comportamientos anó-malos, …)
• Matrizdecomunicación(quienhablaconquien)El resultado de todas estas acciones se verá re-flejado en un informe donde se incluirán una serie de recomendaciones basadas en el análisis de los
datos y en la experiencia del personal de Unitro-nics, con el fin de que el cliente pueda optimizar el uso de recursos y ofrecer a sus usuarios servicios de mayor calidad.
¿Por qué plantearse la realización de una Consultoría de QoS?Una Consultoría de QoS ayudará a responder las siguientes preguntas:• ¿Porquévanlentaslascomunicacionesconlas
oficinas remotas?• ¿Podríanfuncionarmejormisserviciosdene-
gocio en la red actual?• ¿Sonproductivosmisusuariosenelusodelos
recursos TI? ¿Están siguiendo la política de uso interno?
• ¿Hastadóndepuedellegarmiredconlosre-cursos actuales?
• ¿Cómoimpactaráenlaredlapuestaenpro-ducción de un nuevo servicio?
• ¿Esóptimalaarquitecturadelaredylaconfi-guración del equipamiento?
Beneficios: • Obtencióndeunconocimientoprofundosobre
el estado de la red, de forma que se pueda opti-mizar la inversión en comunicaciones.
• Controlymejoradelacalidaddelosserviciosprestados, ayudando a garantizar el correcto funcionamiento de los procesos de negocios.
• Ayudaalarealizacióndeunplandecapacidadde la red que permita controlar su evolución.
Consultoría de Calidad de Servicio
Tras un delito “digital” o sospe-chas del mismo, surgen una serie de interrogantes que nos ayudan a calibrar el impacto que este ha
podido generar en nuestro negocio, ¿Qué activos fueron afectados y en qué grado?, ¿Cuál fue el origen y y cómo se realizó?
¿En qué consiste el Servicio?A través de este servicio, Unitronics ayu-da al esclarecimiento de dichos aconteci-mientos así como sus autores a través de la identificación, preservación, análisis y presentación de evidencias digitales.
Los objetivos principales de una investiga-ción forense son:• Reconocimientodelosmétodosypun-
tos débiles que ocasionaron el delito• Determinación de los daños ocasiona-
dos• Identificacióndelautor• Preservacióndelasevidencias
Beneficios: Mediante el análisis forense es posible co-nocer los detalles de lo ocurrido y propo-ner las medidas oportunas para prevenir futuros ataques, descubrir las vulnerabili-dades que han hecho posible la intrusión, el origen, las acciones realizadas y las he-rramientas utilizadas.
Análisis Forense
1312
02 Auditoría y Consultoría / Seguridad 02 Auditoría y Consultoría / Calidad de Servicio
Aprovecha tus recursos al
máximo
¿Qué, cómo,
cuándo, dónde?
ElRealDecreto3/2010,de8deenero,por el que se regula el Esquema Na-cional de Seguridad en el ámbito de la Administración Electrónica, regula el
citado Esquema previsto en el artículo 42 de la Ley 11/2007, de 22 de junio, de acceso electró-nico de los ciudadanos a los Servicios Públicos.
El objetivo es establecer la política de seguri-dad en la utilización de medios electrónicos. Las organizaciones disponen de 12 meses, desde su aprobación, para presentar un plan que se de-beráejecutarenunplazomáximode48meses.
El ámbito de aplicación del Esquema Nacional de Seguridad es el establecido en el artículo 2 de la Ley 11/2007:• AlaAdministraciónGeneraldelEstado,Admi-
nistraciones de las Comunidades Autónomas y las Entidades que integran la Administra-ción Local, así como las entidades de derecho público vinculadas o dependientes de las mis-mas.
• AlosciudadanosensusrelacionesconlasAd-ministraciones Públicas.
• A las relacionesentre lasdistintasAdminis-traciones Públicas.
• EstánexcluidosdelámbitodeaplicacióndelENS los sistemas que tratan información clasificadareguladaporLey9/1968de5deabril, de Secretos Oficiales y sus normas de desarrollo.
¿Por qué una Consultoría para la Implanta-ción del ENS? Desde Unitronics se es consciente de las pro-blemáticas que la obligatoriedad del cumpli-miento del ENS en los plazos establecidos pue-de crear en los clientes y que además pueden existir restricciones presupuestarias que harían inviable la implantación de las medidas de for-ma inminente.
La ejecución de una consultoría de este tipo asegurará el cumplimiento de la normativa en tiempo y forma de la manera más óptima para la administración, teniendo en cuenta sus re-cursos humanos y su presupuesto.
Beneficios: • Ayuda a establecer los procedimientos y
decidir las medidas que necesita la organi-zación para cumplir de forma óptima con el ENS.
• Aumenta lamadurezde la organizaciónencuanto a seguridad de la información.
• Puedesuponerunpuntodepartidaóptimopara afrontar la implantación de un sistema de gestión de la seguridad (SGSI) basado en ISO/IEC 27001.
• Hace incrementar laconfianzade losusua-rios en los servicios electrónicos proporcio-nados.
• Mejora la resistencia de los servicios anteproblemas técnicos y de seguridad.
Consultoría de adaptación al Esquema Nacional de Seguridad
En todos los países existen organizacio-nes que prestan servicios críticos para la sociedad, sobre los cuales, las enti-dades reguladoras están planteando
mecanismos de seguridad y controles especiales que permitan garantizar la continuidad de los servicios que ofrecen.
El CNPIC (Centro Nacional para la Protección de Infraestructuras Críticas) es el organismo responsable de la dirección, coordinación y su-pervisión de la protección de infaestructuras crí-ticas nacionales dependiente de la Secretaria de Estado de Seguridad del Ministerio del Interior.
¿Qué persigue el Real Decreto?El objetivo que se persigue con la protección de las infaestructuras críticas es garantizar la continuidad de los servicios públicos esenciales o estratégicos ante cualquier eventualidad o cir-cunstancia que pueda producirse y que pudiera afectar a su normal funcionamiento.
Los operadores de las infaestructuras críticas estarán obligados, entre otras cosas, a:• ElaborarunPlandeSeguridaddeOperador
en un plazo máximo de seis meses desde su designación como operador crítico.
• Elaborar un Plan de Protección específicopara cada infraestructura crítica en un plazo máximo de 18 meses desde la designacióncomo operador crítico o de seis meses desde
el momento en que se califique como crítica una infraestructura determinada.
• Designarunaseriederolesyresponsabilida-des dentro de la organización.
¿Por qué una Consultoría de adecuación al RD de IC? Desde Unitronics, se asesora al operador a esta-blecer un plan de acción que, teniendo en cuenta las limitaciones de presupuesto de cada organi-zación, asegure el cumplimiento de los requisi-tosmarcadosporelRD,tantoenloreferentealplan de seguridad global como para cada uno de los planes de protección de infraestructuras crí-ticas específicos.
Beneficios: • Ayudaaestablecerlosprocedimientosydeci-
dir las medidas que necesita el operador para cumplirdeformaóptimaconelRDdeIC.
• Mejoralaresistenciadelosserviciosantepro-blemas técnicos y de seguridad.
• Aumenta la madurez de la organización encuanto a seguridad de la información.
• Puede suponer un punto de partida óptimopara afrontar la implantación de un sistema de gestión de la seguridad (SGSI) basado en ISO/IEC 27001
• Haceincrementarlaconfianzadelosusuariosen los servicios proporcionados.
Consultoría de Adecuación sobre Infraestructuras Críticas
1514
02 Auditoría y Consultoría / Adaptación y Cumplimiento
Normativas y buenas
prácticas... debemos
considerarlas
Adoptar medidas de seguridad para garantizar la confidencialidad de la información de carácter perso-nal que manejan las empresas, así
como elaborar un reglamento de régimen in-terno que establezca las medidas técnico-in-formáticas y organizativas que hay que tomar para dicho fin, está obligado por la legislación.
¿En qué consiste?La auditoría tiene como objeto la compro-bación de las acciones que la empresa ha adoptado como internas y obligatorias para cumplir con los requisitos establecidos en la legislación, tanto desde el punto de vista jurí-dico, como técnico y organizativo.
Beneficios:La aplicación de políticas de seguridad conjun-tamente con el cumplimiento normativo sobre la protección de datos, permite a los diferen-tes departamentos que conforman una em-
presa, entidad pública, financiera etc, seguir y establecer procesos de trabajo seguros que eviten tanto los riesgos técnicos (Ataques, vi-rus, vulnerabilidades, etc) como los derivados por el mal uso de los sistemas informáticos.
Entre los beneficios que aporta la auditoría podemos citar los siguientes: • Proporcionarunanálisiscompletodelasi-
tuación real de la empresa en términos de cumplimiento de la LOPD.
• Ayudaraprevenirlaimposicióndesancio-nes, costes legales y responsabilidades deri-vadas del incumplimiento normativo.
• Aumentar la percepción de confianza quetienen sus clientes.
• Incrementar lacoherenciaen lasactuacio-nes de la organización en el tratamiento de una información que forma parte esencial de sus activos.
Auditoría de Cumplimiento de la Ley Orgánica de Protección de Datos LOPD
17
02 Auditoría y Consultoría / Adaptación y Cumplimiento
La norma ISO/IEC 27001 especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un Sis-tema de Gestión de Seguridad de la
Información (SGSI) de manera consistente con las mejores prácticas descritas en la ISO/IEC 27002 (antigua ISO/IEC 17799).
Un SGSI es un sistema de gestión que com-prende la política, la estructura organizativa, los procedimientos, los procesos y los recur-sos necesarios para implantar la gestión de la seguridad de la información en función de los requisitos técnicos, legales y organizativos identificados en la organización.
La certificación ISO/IEC 27001 demuestra la correcta implantación, gestión y operación de los requisitos del SGSI bajo la norma.
¿En qué consiste la Consultoría de adecua-ción a la ISO/IEC 27001? Unitronics ofrece a sus clientes su experien-cia para llevar a cabo el establecimiento, im-plantación, seguimiento y mejora de su SGSI y estar en condiciones de abordar el proceso de certificación y recertificación periódica de la norma. Dependiendo del estado de madurez del SGSI en cada compañía, Unitronics ofrece servicios personalizados que se adapten a las necesidades concretas.
ALCANCELa consultoría puede cubrir los siguientes aspectos de las fases del SGSI:
ESTABLECIMIENTO• DefinicióndelAlcance• AnálisisGAP• DefinicióndelaPolíticadeSeguridad• AnálisisyGestióndeRiesgos• SeleccióndecontrolesISO27002aplicables
IMPLANTACIÓN Y OPERACIÓN • ImplantarelPlandeGestióndeRiesgos• Implantarcontroles• Definirindicadores• ImplantarSistemadeGestión
SEGUIMIENTO Y REVISIÓN• RevisionesperiódicasdelSGSI• Auditoríasinternas• Desarrollodeprocedimientosde
revisión y monitorización• Definicióndeaccionescorrectivas• Implantarmejoras• Comunicaracciones
Beneficios:• Proporciona un mejor conocimiento de
los sistemas de información, sus vulne-rabilidades y los medios de protección. Garantiza la mejor disponibilidad de los activos de su organización.
• Los socios, accionistas, clientespuedenconstatar la importancia que la organiza-ción concede a la protección de sus ac-tivos y a la información. La consecución de una certificación brinda una diferen-ciación sobre la competencia y el merca-do. Algunas licitaciones ya comienzan a pedir un SGSI certificado.
• Permite el cumplimiento de todas lasnormativas y leyes aplicables en el al-cance.
• Reduccióndecostesrelacionadosconlaresolución de incidentes no previstos de seguridad.
• Facilita la integración con Sistemas deGestión: ISO 9000 e ISO 14000.
• Mejoradesensibilizacióndelpersonalyaumenta responsabilidad en seguridad.
Consultoría para la adecuación a la ISO 27001
19
02 Auditoría y Consultoría / Adaptación y Cumplimiento
Antes de improvisar,
buenasprácticas
