Header Ads

Servicio #CSI (#Challenge #Security #Integration)

https://docs.google.com/forms/d/1WXRWpd9ztyXj8WPphVHDlUSHPS_-Vcnk7I-SNH64zYQ/viewform
Las organizaciones de hoy son abrazadas por la innovación tecnológica para poder subsistir en su propia industria. La base de las actividades operativas y tácticas hace que la infraestructura e información sean prioridad del rendimiento efectivo de estas organizaciones.

La eficiencia aplicable a las tecnologías, va más allá de esta infraestructura e información, complementándola con los procesos y las personas.

La visión integradora y no solo focalizada en una de ellas, hace la diferencia de valor resultante en un proceso de consultoría estratégica.

La información es vital para la actividad de las organizaciones. En su mayoría fluye por redes, servidores y sistemas informáticos. Con lo cual estos activos de información se convierten en una pieza clave para las actividades y por lo cual deben ser revistos con un ojo clínico y profesional.

Dentro de los servicios integradores que conforman CSI (Challenge Security Integration) les presentamos las actividades que generan valor en su organización:
  1. Computer Penetration Test (Pruebas de Intrusión).
  2. Vulnerability Assesment (Evaluación de Vulnerabilidad).
  3. Physical Penetration Test (NEW).
  4. Human Penetration Test (NEW).
  5. Yield Psycho Social (YPS).
  6. Consultoría en Seguridad Corporativa (NEW).
  7. Consultoría en Seguridad de la Información.
  8. Mentoring Estratégico, Políticas y Procedimientos.
  9. Evaluaciones y Auditorias en Seguridad Integral.
  10. Talleres Consultivos.

Computer Penetration Test (Pruebas de Intrusión)

https://docs.google.com/forms/d/1WXRWpd9ztyXj8WPphVHDlUSHPS_-Vcnk7I-SNH64zYQ/viewform
El Penetration Test conforma una serie de pruebas y análisis mayormente científico, basado en mejores prácticas seguridad, métricas aplicadas y fuertemente experiencia práctica de los especialistas involucrados.

El objetivo general es emular el comportamiento de un intruso malicioso (delincuente informático), de forma tal que se puedan encontrar debilidades y vulnerabilidades. La conjunción permite determinar determinados riesgos en la infraestructura informática de la organización. En base a ello el siguiente paso será tomar acciones preventivas, mitigantes o correctivas.

En particular el Penetration Test, determina cómo se encuentra el nivel de seguridad de la organización, los puntos críticos y las posibilidades de acción frente a estos

¿Qué tipos de servicios Penetration Test existen?

Según la información a descubrir:
- Black Box (Blind): El Security Tester, no cuenta con ninguna información del objetivo.
- Double Black Box (Double Blind): El cliente NO tiene conocimiento de qué tipo de test se realizará, cómo se realizará ni cuándo.
- White Box: El Security Tester tiene total conocimiento detallado sobre el objetivo. El cliente está alertado de las tareas a realizar por el Security Tester, al igual que la forma y el momento en que las realizará.
- Gray Box: También conocido como Internal Testing. Examina el nivel de acceso desde la red interna (CEH Definition). El Security Tester, sólo conoce información parcial de los objetivos, la cual es seleccionada por el cliente.
- Double Gray Box: El cliente tiene conocimiento de qué tipo de test se realizará pero NO tiene información sobre el cómo y cuándo

Según el procedimiento operativo a realizar:
- Remote Network Hack: Simula un ataque a través de Internet.
- Remote Dial-Up Network Hack: Simula un ataque lanzado contra el pool de módems del cliente (War dialing).
- Local Network Hack: Simula el ataque de una persona con acceso físico tratando de obtener accesono autorizado a través de la red local.
- Stolen Equipment Hack: Simula el hurto de un recurso que posea información crítica, como una laptop.
- Social Engineering Attack: Simula un intento de obtención de información a través de dicha técnica.
- Physical Entry Attack: Simula el intento de intrusión física a las facilidades de la organización.

Según el objeto bajo análisis puede ser:
- Sistema Operativo: Instalaciones por default, servicios iniciados, bugs de desarrollo.
- Aplicaciones: Aplicaciones mal desarrolladas, sin testing y/o sin mantenimiento.
- Código Shrink-Wrap: Funcionalidades legales de una aplicación que pueden ser utilizadas con fines maliciosos. Ej: Macros, Scripts, etc.
- Errores de Configuración: La mayoría de los sistemas presentan vulnerabilidades ocasionadas por configuraciones débiles o incorrectas

¿Cómo se realiza este servicio de Penetration Test?

1. Reconocimiento (Reconnaissance):  Recolectar la mayor cantidad de información sobre la víctima como sea posible, utilizando todos los medios disponibles. Técnicas: Búsqueda de Información en la Web, Information Gathering, Dumpster Divinig (Pasivas), Network Scanning, Ingeniería Social (Activas), etc.
2. Escaneo (Scanning): Utilizando la información obtenida en el paso 1 se examina la red informática de la víctima en busca de potenciales vulnerabilidades. Técnicas: Dialers, Port Scanners, Network Mappers, Sniffers, VulnerabilityScanners, Wireless Detectors, Sweepers, etc.
3.– Obtención de Acceso (Gaining Access): También llamado “Fase de Penetración”, es donde se efectiviza el ataque al hacer uso de las herramientas de explotación de Vulnerabilidades. Técnicas: DoS y DDoS, Exploiting, Session Hijacking, Password Cracking, BufferOverflow, Remote Access, etc.
4.– Mantenimiento del Acceso (Maintaining Access): Una vez accedido al sistema, el atacante deberá establecer un método de reingreso simple y sin controles. Técnicas: Backdoors, Rootkits, Troyans, Reconfiguración del Sistema, inicio o baja de servicios específicos, atacar otros equipos dentro de la red, etc.
5.– Eliminación de Rastros (Clearing Tracks): El atacante debe cubrir su historial de actividad para evitar ser detectado y nodivulgar las acciones realizadas para poder prolongar su ataque, lograr el reingreso y permanencia en el sistema, eliminar evidencias de su ataque yevitar acciones legales. Técnicas: Esteganografía, Borrado o modificación de los archivos de logs, implantación de túneles de acceso invisibles, indetectables o ilegibles, etc.

Vulnerability Assesment (Evaluación de Vulnerabilidad)

https://docs.google.com/forms/d/1WXRWpd9ztyXj8WPphVHDlUSHPS_-Vcnk7I-SNH64zYQ/viewform
Los servidores, sistemas y redes de datos constituyen la infraestructura elemental por donde fluyen los negocios de cualquier tipo de organización. Generalmente los tiempos, los contextos cambiantes y la complicada tecnología de hoy, provoca que la instalación de esta infraestructura no se encuentre optimizada, se configure con valores por defecto o no están preparadas de manera suficiente para afrontar los niveles de seguridad necesarios.

Mediante el proceso de Hardening se procede a optimizar y actualizar las plataformas según las evaluaciones de vulnerabilidad, en efecto, la criticidad de la infraestructura. El objetivo es que la información de la organización fluya de manera segura, por las redes internas y externas.

¿Qué beneficio genera el servicio de Hardening?

-    Comprender el cuadro de riesgo que actualmente posee la infraestructura y el impacto que ella genera en la organización.
-    Implementar una solución integral efectiva, alineada a las nuevas prácticas de la industria y a la estrategia de la organización.
-    Mitigar las brechas bajo seguimiento entre lo detectado, lo mejorado y el objetivo determinado por la organización.
-    Proveer de recomendaciones al equipo de tecnología y seguridad en el plan de mejoras de las brechas detectadas.
-    Mejorar el nivel de rendimiento, funcionamiento y seguridad de la infraestructura existente.

¿Cómo se realiza este servicio de Hardening?

1.- Instalaciones por Default: Este tipo de instalaciones por general presentan vulnerabilidades, por lo cual, es sumamente necesario personalizar la instalación.
2.- Servicios y aplicaciones innecesariamente iniciados de manera automática: Estando activos son un potencial vector de ataque, pueden darse de baja sin inconvenientes.
3.- Actualizaciones de seguridad: El equipo requiere constante actualización, por ende, es necesario mantenerlo con los niveles de seguridad al dia, para evitar cualquier tipo de conflicto externo.
4.- Políticas: Establecer políticas de seguridad a nivel local, de la red, o del dominio entero.
5.- Permisos de usuario: Restringir los permisos de usuario al mínimo necesario y no dar de alta usuarios que no se utilicen, y dar de baja usuarios que dejen de interactuar con el equipo.

Physical Penetration Test (NEW)

El proyecto consiste en la realización de un análisis activo (controlado, regulado y documentado) a un grupos de espacios físicos que han sido identificados de la organización. El objetivo es establecer una investigación sobre el nivel de seguridad general disponible a actores terceros, identificar las vulnerabilidades a las que se encuentran expuestos dichos espacios físicos investigados y posteriormente establecer los planes de acción pertinentes y necesarios para mitigar los potenciales efectos causados por los diferentes agentes de amenaza encontrados. El servicio se aplicará a las oficinas y cada uno de los objeto dentro de ellas aplicable bajo control en los espacios físicos identificados, alcanzando una proceso de pesquisa exhaustivo.

¿Cómo se realiza este servicio de Physical Penetration Test?

El objetivo principal del test es analizar los sistemas objetivos desde el perímetro interno y externo mediante reconocimientos pasivos y activos. Sobre los resultados obtenidos, luego de hacer un análisis, filtrado y cruza de referencias, se generará un reporte indicando detalladamente los resultados de la investigación. La metodología a utilizar dividirá las tareas dentro de los siguientes módulos, desde los cuales se categorizará el reporte entregable al cliente:
- Definición de tareas a realizar.
- Determinación de herramientas a utilizar.
- Desarrollo del análisis.
- Obtención de resultados.
- Análisis de los resultados y análisis cruzado de referencias.
- Armado de propuestas de contramedidas recomendadas.
- Diseño de un plan de acción.
- Documentación formal y desarrollo del Informe Final.

En caso de encontrarse resultados que requieran atención inmediata, iniciaremos paralelamente un plan de acción específico sobre la situación presentada que entregue los procedimientos disponibles para mitigar dicha brecha de seguridad.

Fase: Transmisiones electrónicas

Información a obtener
  • Inspección, análisis y ubicación de señales inalámbricas que puedan estar trasmitiendo información de audio y/o video de manera oculta.
  • Análisis físico para la detección de elementos electrónicos que no transmitan señal desde el lugar, sino que posean una conexión cableada hacia una ubicación remota, y desde aquel lugar se realicen las transmisiones o grabaciones.
  • Búsqueda minuciosa de dispositivos ocultos de grabación de audio/video y/o reproducción o repetición de señales
  • Inspección de redes inalámbricas instaladas en las inmediaciones que trabajen activamente en la distribución no autorizada de información, o el acceso no autorizado a la red datos interna.
Técnicas y Herramientas a ser aplicadas:
  • Utilización de scanner de señales para determinar la frecuencia, origen y ubicación de la señal foránea, o aquellas que bloqueen todo tipo de señales inalámbricas.
  • Inspección manual de objetos ajenos que puedan haber sido introducidos de manera subrepticia con fines maliciosos, y que realicen retransmisión de comunicaciones, ya sean de audio, video o ambas.
  • Análisis manual de teléfonos fijos o IP, en búsqueda de elementos físicos ajenos que intercepten o anulen sus comunicaciones.
  • Análisis manual de artefactos eléctricos que puedan contener elementos de retransmisión de comunicaciones.
  • Búsqueda perimetral interna de señales WIFI que excedan a la lista de redes autorizadas.

Fase: Control de acceso

  • Puertas/ventanas/cerraduras/terrazas/pisos.
  • Guardias de Seguridad / Personal afectado a la seguridad periférica o focalizada.
  • Cámaras / Monitoreo / Control visual.
  • Proveedores/Clientes/Terceras partes.
  • Caminos y accesos alternativos.
  • Control de estadía (El efecto wallmart)

Fase: Puntos vulnerables y Denegación de servicio

  • Cuadro de tableros,distribuciones y fases eléctricas.
  • Comunicaciones y Telecomunicaciones.
  • Documentación, Procedimientos, Procesos y Políticas documentadas.
  • Áreas comunes y servicios, públicas o de tránsito privado.
  • Revisión y Testeo del plan de evacuación y gestión de crisis existente.

Human Penetration Test (NEW)

1) Investigación y revisión sobre información expuesta públicamente de diferentes grados de exposición del personal de la organización (directivos de empresas, familiares vinculados, personal bajo los niveles indicados de privacidad, etc.): Desarrollo de la investigación en Internet sobre la información pública existente sobre las personas de alto grado de impacto en virtud de la confidencialidad y privacidad de sus niveles jerárquicos, o bien, por el grado de exposición por la información en conocimiento confidencial de la empresa. Realizamos investigaciones intensivas en las redes digitales y sociales, junto con herramientas específicas para lograr el alcance mayoritario de lo expuesto en el ciberespacio.

2) Ejecución del proceso de Ingeniería Social Interna: Se envían correos electrónicos a las cuentas internas de todos los empleados de la organización. Tiene como objetivo dos elementos de vulnerabilidad del lado humano. Primero, se busca obtener que los empleados realicen un click en links maliciosos. Paso seguido generar un contexto para que los empleados envíen voluntariamente información propia, de la empresa o confidencial dentro de la organización.

3) FBHT: Sobre la base de una herramienta de desarrollo propio, , desarrollamos un análisis masivo de la presencia digital de empleados en redes sociales y sus nodos transitivos, con una precisión de hasta 20 niveles de profundidad. Luego investigamos información publicada en este punto de análisis y calculamos el índice de probabilidad de un data leaks (fuga de datos).

4) Talleres de concienciación: Desarrollamos actividades de introspección focalizadas en las vulnerabilidades humanas encontradas, generando un proceso de concientización escalonado en mejora interna de seguridad. Los talleres se focalizan en:
a) Resguardos y precauciones en la presencia y exposición en Internet y Redes Sociales.
b) Mejores prácticas y uso de modo seguro en las redes sociales principales.
c) Reflexión y acciones concretas para prevenirse para no caer en engaños, fraudes y ataques de ingeniería social.

5) Ingeniería social integrado con seguridad física personal: Tiene como objetivo penetrar los límites físicos de la organización, basado en la animosidad permisiva del personal bajo una estrategia de ingeniería social dirigida. Dentro de las acciones a ejecutar son:
- Ingeniería social y PNL orientada.
- Obtención de información. Desinformación. Inyección de información. 
- Entrevista informal.
- Bypass de control de acceso.
- Desenfoque de información.
- Desacreditación del personal.

Yield Psycho Social (YPS) (NEW)


El mundo social se ha expandido en el plano social hace ya unos años. Plano digital compartido entre las redes sociales personales, profesionales y propiamente el sinnúmero de contenidos donde nuestra antropología cultural hace de nosotros un ser único.

La vida real ha extendido su alcance. No podemos cerrarnos a decir que la vida social es solo la que ocurre en el plano físico. El plano digital es nuestra vida real también. Sin duda una porción de nuestro tiempo accionamos, nos comunicamos, compartimos y nos leemos en términos digitales.

Nuestras relaciones y actividades en el ámbito digital pueden ser estudiadas y analizadas desde la óptima psicológica y psicosocial. Nuestro perfil psicosocial digital se encuentra determinado por la infinidad de “me gusta”, comentarios que realizamos, grupos en donde participamos, los “amigos” que tenemos y el tipo de lenguaje que utilizamos en nuestros círculos sociales.

Es por ello que la combinación de nuevas tecnología de análisis y la vinculación con análisis del aspecto personal, psicológico y social, hacen de manera consolidada e integral una revisión de lo que la persona “es” y “hace” en este nuevo ámbito. El carácter transitivo vincular en los diferentes planos indicados permite complementar el análisis que actualmente pueden ser aplicados en términos de recursos humanos, análisis de dinámicas de grupos, pericias digitales, investigaciones de perfiles, investigaciones privadas, entre otros.

Este estudio conlleva cuatro pilares integrados y relacionados:
  1. Estudio del Ser Psico Digital: elementos relevantes a la imagen pública de la persona, quién soy, qué soy, cómo me presento, qué me gusta, etc.
  2. Estudio del Ser Social Digital: elementos de relación y vínculos entre personas, grupos digitales y participación de comunidades digitales.
  3. Estudio del Ser Decir Digital: elementos asociados a los temas comentados y publicados, desde la base de contenidos y estructuras del lenguaje utilizadas.
  4. Estudio del Ser Hacer Digital: elementos que presentan acciones de construcción, conducción, control y realización en los ámbitos digitales, denotando el qué de la acción y connotando el por qué y el para qué.
Las fuentes de información se basan en la información pública que la persona acepta publicar abiertamente y expone de manera periódica en estos planos digitales.

Consultoría en Seguridad Corporativa (NEW)

La seguridad corporativa más allá de la informática conlleva el entrelazado de los aspectos de la seguridad física con la seguridad de las personas. Entre estas actividades consolidamos:
  • Protección VIP
  • Estudios de Seguridad e Higiene
  • Estudios de Seguridad Fïsica - Vulnerabilibidades
  • Investigaciones
  • Prevención y Administración de los Riesgos
  • Administración para la prevención de Fraudes
  • Planes de Continuidad del Negocio
  • Planes para la Gestión de Crisis
  • Medidas y Contramedidas de la Seguridad con y sin Tecnologías aplicadas
Como complemento a las actividades de consultoría, desarrollamos talleres consultivos y focalizados en necesidades claves para el mejor crecimiento de los niveles de seguridad y prevención:
  • Gestión de Crisis
  • Protección de la Información
  • Prevención del Lavado del Dinero
  • Anticorrupción
  • Protección de Ejecutivos
  • Protección de Empleados
  • Protección de Activos Críticos

Consultoría en Seguridad de la Información

https://docs.google.com/forms/d/1WXRWpd9ztyXj8WPphVHDlUSHPS_-Vcnk7I-SNH64zYQ/viewform

¿Qué es un activo de información?

Si nos tomamos unos minutos para analizar un día completo en las organizaciones, comprendemos que en cada una de las actividades que desarrollamos estamos en contacto con información que nos permite mejorar el conocimiento y aprender, reducir nuestra incertidumbre permitiéndonos decidir la mejor acción entre varias, o proporcionar una serie de reglas con fines de control o evaluación.

La información se convierte en un activo, tan importante como los activos económicos y humanos que posee la organización, y por consiguiente deben ser protegidos de un modo adecuado. Ninguna persona estaría de acuerdo en perder dinero, debido a un agujero en el bolsillo. Ningún líder de proyecto estaría conforme en perder uno de los talentos de su equipo, particularmente en medio de un proyecto. Ningún programador estaría motivado en comenzar su día laboral al enterarse que la última versión del código fuente finalizado ayer, se ha perdido debido a que el servidor que lo almacenaba quedó fuera de funcionamiento y la última copia de seguridad disponible es de un mes atrás.

Los tres pilares del valor de la información

¿Cuál es el valor de los activos de información para nuestra organización, para nuestro equipo de trabajo y para nosotros mismos? A fin de determinar el valor de estos activos, debemos conocer los tres pilares que clasifican la importancia y prioridad de los mismos:
- Confidencialidad: solo podrán acceder a la información (usarla, leerla o escucharla) las personas autorizadas.
- Integridad: la información con la que se trabaja sea completa y precisa, poniéndole énfasis en la exactitud tanto en su contenido como en los procesos involucrados en su procesamiento. Este pilar determina la manera en que es controlada la persona antes de acceder a la información.
- Disponibilidad: la información estará disponible siempre que cualquier persona autorizada necesite hacer uso de ella. Clasificando este pilar de acuerdo a la velocidad de recupero necesaria para que la información esté disponible.

¿Qué es seguridad de la información?

La seguridad de la información protege a los activos de información respecto a una gran cantidad de amenazas, asegurando a la organización que la frecuencia y el impacto de los riesgos sean mínimos, considerando que la rentabilidad y la relación costo/beneficio sean los más eficientes.

Las organizaciones dependen para funcionar de su información, sus sistemas aplicativos, bases de datos, redes de comunicaciones, infraestructura, procesos y las personas. Los activos de información no fueron diseñados y desarrollados para que sean seguros, debido a que el esquema de seguridad aplicado a los mismos muchas veces es obsoleto o desconocido. En el marco de la seguridad debemos realizar la planificación paralela que considere los diferentes controles de la protección de los activos de información.

La seguridad de la información es un proceso que evoluciona con toda la organización, involucra el compromiso de todas las personas de la empresa, incluso en muchos casos es extensivo a los clientes y proveedores de la misma, es decir, es un proyecto multidisciplinario aplicado a la cadena de valor completa. Si bien existen medios tecnológicos o técnicos que permiten mejorar la seguridad, actualmente no son suficientes por si solos. Debemos complementarlos con un detallado análisis e identificación de los puntos de riesgo, una cuidadosa planificación de los controles a realizar, una gestión de seguridad que involucre a todos y una adecuada implementación de procedimientos de acuerdo a lo relevado.

¿Cuál es el alcance de los servicios?

Consultoría Focalizada:

Tenemos como objetivo principal el determinar el nivel de seguridad informática real brindado por la plataforma tecnológica de cada organización y en función a eso, poder determinar las directrices para alcanzar el nivel de seguridad óptimo.

Este servicio se basa en el profundo conocimiento y experiencia de nuestro equipo y en las metodologías de análisis y prueba basadas en estándares internacionales en la materia.

La integración de estos elementos al análisis a detalle de la operación de su organización da como resultado una estrategia de Seguridad de la Información válida acorde a las necesidades operativas de cada uno de nuestros clientes.

Talleres Consultivos Operativos y Tácticos:

Uno de nuestros principales servicios es brindarles a los profesionales y al equipo de seguridad y tecnología de la organización, Talleres y Seminarios Consultivos altamente desarrollados acordes al requerimiento del mercado actual.  El factor diferencial, puntualmente, reside en la confección de capacitación customizada y organización de , Talleres y Seminarios Consultivos  In Company.
Hemos logrado un plantel capacitados no solamente en su conocimiento académico sino también en su experiencia profesional, lo que nos permite proveer a nuestros clientes una modalidad diferente a la habitual. Debido a que cada organización es un ambiente totalmente distinto, es que dentro de nuestros servicios de capacitación ofrecemos la posibilidad de diseñar programas a medida, a fin de poder brindar talleres más específicos y adaptados a cada organización.

Este servicio está pensado para las empresas que:
-    No requieren un simple servicio de consultoría del que luego terminen dependiendo por no manejar los pormenores técnicos de la solución.
-    No requieren un servicio de consultoría con transferencia de know how que normalmente no sirve como capacitación para su personal, debido a que fue dado por personas sin experiencia docente en temas de tecnología.

Nuestra modalidad es ofrecer un Taller Consultivo cuyo temario se crea especialmente para los problemas tecnológicos que la organización debe solucionar  y de acuerdo a la formación técnica del personal que va a llevar a cabo el proyecto definido.

Todas las acciones de capacitación prácticas se realizan sobre el sistema o con la finalidad de implementarlas en él.

Una vez finalizados los servicios de consultoría y capacitación, la organización se encontrará con el problema resuelto y su equipo capacitado para continuar manteniendo la solución implementada.

Asesoramiento sobre Soluciones de Seguridad del Mercado

La amplia variedad de ofertas en materia de soluciones en seguridad informática y la necesidad de los distribuidores de venderlas hace que al momento de decidirse por alguna de ellas el panorama sea poco claro y muchas veces subjetivo.
Les proponemos realizar el análisis de factibilidad y mejor solución que se integre a su organización proponiendo las más efectivas tomando como referencia la situación actual del cliente, en base a la relación costo-beneficio.

Algunos tips a considerar: Plataformas,  Software y Hardware de Seguridad, Configuraciones Especificas, Proveedores de Servicios y Protocolos a Implementar.

Mentoring Estratégico, Políticas y Procedimientos

https://docs.google.com/forms/d/1WXRWpd9ztyXj8WPphVHDlUSHPS_-Vcnk7I-SNH64zYQ/viewform
Para poder reflejar una integración entre información, infraestructura, procesos y personas en el plan de la seguridad es necesario definir una estrategia de Seguridad de Gestión de la Seguridad de la Información, aplicando un plan, políticas y procedimientos en las que se ponga de manifiesto la relación vinculante entre las personas y los activos de información.

Destacamos que el disparador de este servicio consultivo se hace por requisito, necesidad de cumplimiento regulatorio o de normativas de la industria, como así también por temas políticos internos o basados en aspectos legales. En los últimos años notamos que una directiva de aplicación es de demostrar al cliente regularidad y orden en sus operaciones, por consiguiente un factor diferenciador de valor para ellos.

¿Cuáles son los beneficios de aplicar una buena práctica o estándar de la industria?

- Anula de los efectos negativos de “reinventar la rueda.
- Reduce la dependencia con los expertos tecnológicos internos o externos.
- Mejora el potencial del personal con menos experiencia del equipo de trabajo.
- Mejora y es mucho más fácil la colaboración con otros equipos de trabajo externos a la organización.
- Reduce los riesgos en términos de su frecuencia e impacto.
- Reduce la cantidad de errores.
- Mejora la calidad de la información utilizada.
- Mejora la calidad de los procesos de trabajo.
- Mejora las habilidades para gestionar y monitorear las actividades del equipo de trabajo.
- Reducen los costos operativos basándose en la estandarización incremental de los procesos.
- Mejora la confianza y confidencia, entre los integrantes del equipo la organización, socios, clientes y proveedores.
- Crea respeto ante las entidades reguladoras u controladoras externas.
- Protege y provee un valor diferencial para la organización.

 Algunas de las normas que podemos mencionar

- Norma ISO 27001: ISO/IEC 27001 es una norma adecuada para cualquier organización, grande o pequeña, de cualquier sector o parte del mundo. La norma es particularmente interesante si la protección de la información es crítica, como en finanzas, sanidad sector público y tecnología de la información (TI).

- Norma ISO 27002: El Estándar Internacional ISO/IEC 27002 nace bajo la coordinación de dos organizaciones:ISO: International Organization for Standardization y IEC: International Commission.
ISO e IEC han establecido un comité técnico conjunto denominado ISO/IEC JTC1 (ISO/IEC Joint Technical Committee). Este comité trata con todos los asuntos de tecnología de información. La mayoría del trabajo de ISO/IEC JTC1 es hecho por subcomités que tratan con un campo o área en particular. Específicamente el subcomité SC 27 es el que se encarga de las técnicas de seguridad de las tecnologías de información, que es en esencia de lo que trata el Estándar Internacional ISO/IEC 27002 (antiguamente llamado ISO/IEC 17799, pero a partir de julio de 2007, adoptó un nuevo esquema de numeración y actualmente es ISO/IEC 27002).

- Norma ISO 27005: Gestión del Riesgo.

- BS 25999-2 / ISO 22301: política de continuidad del negocio, análisis del impacto en el negocio, evaluación de riesgos, estrategia de continuidad del negocio, planes de continuidad del negocio, prueba y verificación, etc.

- ISO 9001: Sistema de calidad-Modelo para el aseguramiento de la calidad en el diseño y desarrollo. Producción, Instalación y Servicio. Es el más amplio estándar de las series. ISO 9001 cubre todos los elementos listados en la ISO 9002 y 9003. Adicionalmente, se establecen capacidades de diseño, desarrollo y servicio.

- ISO 9002: Sistema de calidad-Modelo para el aseguramiento en calidad en producción e Instalación, estableciendo la prevención, detección y corrección de problemas durante la producción e instalación. Es más extensa y sofisticada que la ISO 9003.

- Norma ISO 17799: Surgida de la norma británica BS 7799, la norma ISO 17799 ofrece instrucciones y recomendaciones para la administración de la seguridad.
La norma 17799 también ofrece una estructura para identificar e implementar soluciones para los siguientes riesgos:
1.- Políticas de Seguridad.
2.- Normas Organizativas de la Seguridad.
3.- Clasificación y Control de Activos.
4.- Cumplimiento Legal.
5.- Control de Accesos.
6.- Seguridad del Personal.
7.- Seguridad Física y Ambiental.
8.- Desarrollo y Mantenimiento de Sistemas.
9.- Continuidad del Negocio.
10.- Gestión de Comunicaciones y Operaciones.

- Norma SOX: La Ley Sarbanes – Oxley (SOX) es una ley estadounidense que entró en vigor el 30 de Junio de 2002, después de su aprobación por el Congreso de los Estados Unidos, con la cual se le dio fuerza de ley al denominado “Act de 2002”.  La citada ley aplica para todas las empresas que cotizan en la Bolsa Nueva York y señala los requisitos que las mismas deben cumplir para poder operar en territorio y mercado estadounidense.

- Norma IRAM: El IRAM (Instituto Argentino de Normalización y Certificación) es una asociación civil sin fines de lucro. Su labor específica, en tanto Organismo Argentino de Normalización, es establecer normas técnicas, además de propender al conocimiento y la aplicación de la normalización como base de la calidad . Esto último incluye la promoción de actividades de certificación y de sistemas de calidad en las empresas, para así brindar seguridad al consumidor.


Disparadores AutoEvaluadores

https://docs.google.com/forms/d/1WXRWpd9ztyXj8WPphVHDlUSHPS_-Vcnk7I-SNH64zYQ/viewform
Te acercamos una guia de preguntas disparadoras, que permitirán autoevaluarse y generar un espacio de reflexión.

Estas preguntas invitan de manera consolidada a plantearse la posición de la organización o grupo de trabajo, frente a la seguridad de la información desde todos los dominios de las normas internacionales.

Para acceder a las mismas podrá hacerlo desde este link a Autoevaluación de la Seguridad de la Información

Mayor información

Puede solicitarnos mayor información a través de nuestras líneas de contacto y formulario de consulta indicando el código de referencia #CSI-SEGINFO.

---

---

No hay comentarios.

Copyright 2008 - 2016: CXO Community - Todos los derechos reservados. Imágenes del tema de luoman. Con tecnología de Blogger.