Grupo Redinfo | Gestión de Seguridad
Gestión de Tecnologías y Seguridad de la Información
PMG PMG-SSI Seguridad de la Información Seguridad Informática Ethical Hacking Circular 40 SBIF PCI-DSS PCI SAS-70 SOC-1 sas 70 soc 1 SGC ISO 9000
14093
page,page-id-14093,page-template,page-template-full_width-php,ajax_fade,page_not_loaded,,,wpb-js-composer js-comp-ver-4.1.2,vc_responsive
 

Gestión de Seguridad

Marco Normativo

Implementación de Marco Normativo de Seguridad de la Información

El objetivo del servicio es la definición de las Políticas de Seguridad de la Información, sus procedimientos y estándares asociados, bajo la metodología de implementación de la familia ISO/IEC 27000

Inventario y Clasificación de Activos de Información

Este servicio tiene por objetivo implementar una política de “Clasificación de Activos de Información” para los procesos de negocio, sus subprocesos y etapas correspondientes como ámbito de operación:

  • Información: bases de datos y archivos de data, contratos y acuerdos, documentación del sistema, información de investigaciones, manuales del usuario, material de capacitación, procedimientos operacionales o de soporte, planes de continuidad del negocio, acuerdos para contingencias, rastros de auditoría e información archivada.
  • Activos de software: software de aplicación, software del sistema, herramientas de desarrollo y utilidades;
  • Activos físicos: equipos de cómputo, equipos de comunicaciones, medios removibles y otros equiposs;
  • Servicios: servicios de computación y comunicación, servicios generales; por ejemplo, calefacción, iluminación, energía y aire acondicionado; personas, y sus calificaciones, capacidades y experiencia; Intangibles, tales como la reputación y la organización.
activos
RyP2

Ingeniería de Roles y Perfiles

El servicio esta diseñado para realizar la definición de roles y perfiles dentro de la organización, identificando como primer ámbito de acción la información provista por el departamento de Recursos Humanos en cuanto a la actual definición de “perfiles de cargo” y funciones para cada departamento, con el objetivo de identificar conflictos de intereses y prevenir fraudes dentro de la organización a través del uso de Tecnologías de Información

Gestión de Planes de Continuidad del Negocio BCP/DRP ISO/IEC 22301:2013 ISO/IEC 27000

El Servicio tiene por objetivo, construir un plan de continuidad del negocio de manera de Recuperar en el menor tiempo posible la operación de los PROCESOS CRÍTICOS de la organización, estén o no automatizados, a través de una serie de procedimientos operativos y tecnológicos establecidos, difundidos, entrenados y probados.

bcp
PlanDoCheckAct

Implementación “Sistema de Gestión de Seguridad de la Información”

Los Servicios de consultoría tienen por objetivo general, realizar las actividades de implementación de un “Sistema de Gestión de Seguridad de la Información”, utilizando como metodología de implementación la normativa ISO/IEC 27001:2005 – ISO/IEC 27002:2005, y tomando como base la documentación existente dentro de la compañía.

Etapa 1

  • Diagnosticar la situación de seguridad de la información institucional.
  • Identificar todos aquellos aspectos de seguridad de la información que establece la normativa ISO/IEC 27001:2005 y el nivel en que la organización se encuentra con respecto de ellos.
  • Determinar las brechas a ser abordadas en el Plan General de Seguridad de la Información institucional.

Etapa 2

  • Definir el Plan General de Seguridad de la Información institucional, para el año en curso y siguientes, considerando los resultados del diagnóstico y brechas detectadas en la Etapa I, y que comprenda la coordinación de todas las unidades vinculadas y los métodos para la implementación de la norma ISO/IEC 27001:2005. Este plan debe estar aprobado por la Autoridad Superior de la organización.
  • Elaborar el Programa de Trabajo Anual para implementar el plan de seguridad de la información definido, señalando el porcentaje de cada uno de los dominios de la norma ISO/IEC 27001:2005 que se alcanzará para el año, hitos, cronograma, plazos y responsables.
  • Plan de mitigación de riesgos, que defina los riesgos asociados al Plan y sus acciones para resolverlos.
  • Difusión/capacitación/sensibilización a todos los funcionarios del plan de seguridad de la información y su programa de trabajo aprobado por la autoridad de la organización.

Etapa 3

  • Implementar el programa de trabajo anual definido en la etapa anterior, de acuerdo a lo establecido en el plan general de seguridad de la información y el porcentaje de cumplimiento de la norma ISO/IEC 27001:2005 comprometido.
  • Registrar y controlar los resultados de la implementación del programa de trabajo anual considerando actividades, dificultades, grado de avance en el cierre de las brechas, holguras detectadas, implementación del plan de mitigación de riesgos asociados a cada proyecto o iniciativa, las acciones de difusión/sensibilización/capacitación y las modificaciones realizadas según lo programado.

Etapa 4

  • Evaluar los resultados de la implementación del Plan General de Seguridad de la Información y Programa de Trabajo Anual, y formular recomendaciones de mejora.
  • Difundir a los funcionarios los resultados de la evaluación del Plan y Programa de Trabajo Anual.
  • Diseñar el Programa de Seguimiento a partir de las recomendaciones formuladas.
  • Mantener del grado de desarrollo del sistema de acuerdo a cada una de las Etapas.
  • Implementar los compromisos establecidos en el Programa de Seguimiento, considerando plazos y responsables para superar las brechas aún existentes y debilidades detectadas.