Servicio: Soluciones de Ciberseguridad y Seguridad de la Información

Soluciones de Ciberseguridad y Seguridad de la Información

Las organizaciones de hoy son abrazadas por la innovación tecnológica para poder subsistir en su propia industria. La base de las actividades operativas y tácticas hace que la infraestructura e información sean prioridad del rendimiento efectivo de estas organizaciones.

La eficiencia aplicable a las tecnologías, va más allá de esta infraestructura e información, complementándola con los procesos y las personas.

La visión integradora y no solo focalizada en una de ellas, hace la diferencia de valor resultante en un proceso de consultoría estratégica.

La información es vital para la actividad de las organizaciones. En su mayoría fluye por redes, servidores y sistemas informáticos. Con lo cual estos activos de información se convierten en una pieza clave para las actividades y por lo cual deben ser revistos con un ojo clínico y profesional.

  • Ofrecemos los servicios directamente a clientes finales, realizados por expertos especialistas
  • Buscamos afiliados o asociados comerciales para aumentar la red comercial y venta. 



Buscamos afiliados o asociados comerciales

Buscamos afiliado o asociado comercial para empresa líder en Latinoamérica sobre seguridad de la información, ciberseguridad y tecnologías de la información. 

Esta posición tiene el objetivo del desarrollo comercial de los productos y servicios de la empresa, trabajando directamente con la casa central para toda Latinoamérica.


Responsabilidades

  1. Interpretación y conocimientos de procesos de negocio. Entender los problemas del cliente y las metas que desea alcanzar.
  2. Mantener y profundizar la relación con los clientes asociados a los productos y servicios.
  3. Establecer plan de ventas y marketing para los productos/servicios asignados. 
  4. Seguimiento periódico del plan comercial (Pileline /Forecast y Cierres).
  5. Elaborar la oferta técnica/económica de las propuestas que se hacen al cliente
  6. Dimensionar y costear la solución a ofertar y su implementación
  7. Negociación de precios y condiciones comerciales
  8. Conocer y maximizar el uso de los productos y servicios. Optimizar la propuesta en función del presupuesto del cliente
  9. Coordinar y hacer seguimiento al plan de comercial con sus propios clientes
  10. Coordinar demostraciones y presentaciones sobre los producto y servicios.
  11. Desarrollo de contenidos de marketing dentro de su red comercial y de contactos
  12. Apoyo a la empresa en las presentaciones y desarrollo de oportunidades a clientes en el ámbito comercial bajo su responsabilidad.


Requisitos

  1. De 2 a 5 años en áreas comerciales en rubro de ciberseguridad, áreas de desarrollo de productos, desarrollo de canales, ventas.
  2. Experiencia en puesto similar
  3. Estudiante avanzado o graduado en ingeniería en sistemas o similar.


Empresa

  • No disponible. Representante de marca dentro de la empresa donde comercialice. 

Países

  • Latinoamérica
  • Centro América
  • España

Nivel de experiencia

  • Semisenior, Senior

Tipo de relación

  • Afiliado, Asociado, Part-time

Sector

  • Seguridad de la información
  • Ciberseguridad
  • Servicios y tecnologías de la información
  • Software
  • Telecomunicaciones

Funciones laborales

  • Ventas
  • Desarrollo comercial
  • Gestión de productos/servicios

Rango de salario

  • No disponible.


Contacto

Realice su consulta a través de este formulario.
---

---


SERVICIOS DE CIBERSEGURIDAD Y SEGURIDAD DE LA INFORMACIÓN

La seguridad de la información ha sido uno de las preocupaciones que más ha crecido en estos años, requiriendo de profesionales de diferentes disciplinas para lograr las metas eficientes y efectivas que requieren las empresas en estos contextos complejos.

Transformar los servicios de tecnología y seguridad de la información de manera simple, ágil y dinámica requiere abordar una estrategia integral que aborde tanto temas técnicos, operativos, regulatorios y de entrenamiento permanente. 

A continuación, con una renovada presentación en videos Vintage, acercamos los nuevos servicios de la empresa agrupados en Servicios Gestionados, Ciberseguridad Dinámica, Tecnología y Ciberseguridad.


RED, BLUE Y PURPLE TEAM (CIBERSEGURIDAD DINÁMICA)

Poner a disposición de las organizaciones a su red team para ejecutar ejercicios que representen una amenaza real permitiendo valorar la seguridad de la infraestructura tecnológica de las organizaciones.

  • Detección de vulnerabilidades de manera proactiva. 
  • Emulación de atacantes. 
  • Evaluación de la capacidad real para protección de los activos críticos de la organización. 
  • Enfocar a la organización en la mejora de los niveles de ciberseguridad.


Poner a disposición de las organizaciones a su blue team para la evaluación de las distintas amenazas que puedan afectar a la organización junto con la remediación de incidentes y ejecución de actividades forenses.

  • Protección proactiva. 
  • Vigilancia constante. 
  • Mejora continua de la ciberseguridad. 
  • Planes de acción de mitigación de riesgos. 
  • Trazabilidad de vectores de ataque.


Poner a disposición de las organizaciones a su purple team para la optimización de los red / blue teams de las organizaciones potenciando las estrategias ofensivas / defensivas de las organizaciones.

  • Cooperación con red y blue team. 
  • Procedimientos actualizados.
  • Desarrollo de controles adicionales de ciberseguridad.



SERVICIOS GESTIONADOS

Los Servicios Gestionados marcan la tendencia en el mercado gracias a sus múltiples beneficios.


Gestión de la información | Information management

Uno de los activos mas valioso de las organizaciones es la información y su gestión se vuelve algo primordial. El modelo de procesos, la administración de proyectos y la definición de tableros de control son actividades importantes que demoran su implementación por el tiempo que incurre en el día a día las diferentes áreas. 

Capacitación y Concientización | Training Awareness

El factor humano sigue siendo hoy en día la principal causa de los incidentes de seguridad que ocurren en las organizaciones y esto sucede especialmente cuando los riesgos de seguridad no son comprendidos por su personal, no se encuentran preparados ante las diferentes amenazas del entorno o desconocen el correcto uso de las tecnologías.

Administracion de servicios informáticos | IT management

El rol de la tecnología cada día cobra mayor importancia, pero algunas organizaciones se ven limitadas en la capacidad de crecimiento o continuidad de un rol activo dedicado a los servicios informáticos. 

Oficial de Seguridad de la Información Virtual | Virtual Information Security Officer

V-ISO es un servicio diseñado para acompañar a todas las organizaciones que necesitan del conocimiento experto, estratégico y operativo en esta época de transformación digital, seguridad de la información y privacidad de los datos confidenciales. V-ISO propone asesorar a la dirección ejecutiva y operativa, en la modalidad “CaaS” (Cybersecurity as a Service), permitiendo así contratar el conocimiento y experiencia de más de 20 años en materia de cumplimiento, gobernanza y gestión de la seguridad de la información.



CIBERSEGURIDAD DINÁMICA

Servicios periódicos que permiten disminuir la ocurrencia de vulnerabilidades, mitigando ciberamenazas y reforzando la ciberdefensa de las organizaciones.


Vigilancia Digital | Digital Watchmen

Este servicio permite la prevención y detección temprana de situaciones negativas, que consiste en el monitoreo de fuentes abiertas publicadas tanto en la Internet navegable como en la Deep Web, para la identificación temprana de posibles acciones negativas o fuga de información, que puedan afectar al mundo corporativo (empresas y marcas del grupo), facilitando el proceso de toma de decisiones frente a escenarios adversos que se presenten en el ciberespacio.


Gestión continua de vulnerabilidades | Vulnerability Management

El alto impacto generado por el hacking de sitios corporativos, o la pérdida de información producida por la explotación de vulnerabilidades de los servicios publicados en Internet, sumado a la creciente profesionalización de los piratas informáticos, requiere la adopción de medidas y controles periódicos de seguridad.

Los servidores, sistemas y redes de datos constituyen la infraestructura elemental por donde fluyen los negocios de cualquier tipo de organización. Generalmente los tiempos, los contextos cambiantes y la complicada tecnología de hoy, provoca que la instalación de esta infraestructura no se encuentre optimizada, se configure con valores por defecto o no están preparadas de manera suficiente para afrontar los niveles de seguridad necesarios.

Mediante el proceso de Hardening se procede a optimizar y actualizar las plataformas según las evaluaciones de vulnerabilidad, en efecto, la criticidad de la infraestructura. El objetivo es que la información de la organización fluya de manera segura, por las redes internas y externas.

¿Qué beneficio genera el servicio de Hardening?

  1. Comprender el cuadro de riesgo que actualmente posee la infraestructura y el impacto que ella genera en la organización.
  2. Implementar una solución integral efectiva, alineada a las nuevas prácticas de la industria y a la estrategia de la organización.
  3. Mitigar las brechas bajo seguimiento entre lo detectado, lo mejorado y el objetivo determinado por la organización.
  4. Proveer de recomendaciones al equipo de tecnología y seguridad en el plan de mejoras de las brechas detectadas.
  5. Mejorar el nivel de rendimiento, funcionamiento y seguridad de la infraestructura existente.

¿Cómo se realiza este servicio de Hardening?

  1. Instalaciones por Default: Este tipo de instalaciones por general presentan vulnerabilidades, por lo cual, es sumamente necesario personalizar la instalación.
  2. Servicios y aplicaciones innecesariamente iniciados de manera automática: Estando activos son un potencial vector de ataque, pueden darse de baja sin inconvenientes.
  3. Actualizaciones de seguridad: El equipo requiere constante actualización, por ende, es necesario mantenerlo con los niveles de seguridad al dia, para evitar cualquier tipo de conflicto externo.
  4. Políticas: Establecer políticas de seguridad a nivel local, de la red, o del dominio entero.
  5. Permisos de usuario: Restringir los permisos de usuario al mínimo necesario y no dar de alta usuarios que no se utilicen, y dar de baja usuarios que dejen de interactuar con el equipo.


Programa de Awareness | Awareness program

El Programa de Awareness es una solución integral que contempla la difusión y concientización en materia de seguridad de la información, mediante el empleo de diferentes canales tales como cursos, posters, banners, newsletters, fondos de pantalla, videos e incluso herramientas de evaluación (quiz).



TECNOLOGÍA Y CIBERSEGURIDAD

Los servicios profesionales de tecnología y ciberseguridad a medida te permiten llevar adelante los cambios necesarios en tu empresa con el apoyo de nuestro equipo de profesionales.


Test de Seguridad de Aplicaciones | Application Security Test

Las organizaciones automatizan sus procesos tantos internos como externos por medio de aplicaciones que utilizan tecnología web y mobile. Esta ventaja que permite su masificación también expone a un gran número de amenazas, entre ellas, los ataques perpetrados por ciberdelincuentes que aprovechan vulnerabilidades de seguridad existentes.


Evaluación de Seguridad Industrial | Industrial Security Assessment

Este servicio permite prevenir las fallas de seguridad provenientes de la integración de sistemas industriales en el ámbito corporativo y su exposición en Internet. El mismo consiste en la ejecución de diferentes herramientas de evaluación, cuyos resultados son investigados por nuestros profesionales, certificados en ciberseguridad, permitiendo un análisis exhaustivo y en profundidad de la infraestructura crítica y red industrial, conceptualizado los hallazgos en un informe junto a las acciones de mejora recomendadas. El alcance cubre las zonas 0, 1, 2 y 3 junto a sus conductos.


Cumplimiento Normativo | Regulatory Compliance

Las organizaciones poseen marcos regulatorios fuertes cuya falta de incumplimiento pueden producir perdida de imagen, multas y hasta situaciones penales.


Consultoría en Seguridad Informática | Cybersecurity consulting

Las organizaciones que poseen políticas de seguridad fuertes son propicias a la necesidad de la ejecución de actividades que permitan garantizar su cumplimiento.


Auditoría de seguridad de código fuente | Source Code Security Audit

Este servicio consiste en la utilización de diferentes herramientas automáticas, adecuadamente parametrizadas, junto a un análisis manual que requiere el trabajo cooperativo de profesionales de distintas áreas (desarrollo, arquitectura y seguridad) para el procesamiento de los resultados obtenidos, eliminando los falsos positivos, definiendo la criticidad de cada hallazgo, y proponiendo las mejores alternativas de solución. Permitiendo que durante las diferentes etapas de desarrollo o mantenimiento de aplicaciones, se pueda identificar riesgos y prácticas inseguras a nivel de código fuente.


Adoption to Cloud Computing

Muchas organizaciones han tomado la decisión estratégica de migrar hacia la nube, con el fin de aprovechar los múltiples beneficios que brinda Cloud Computing, no obstante, no siempre se cuenta con el tiempo y la experiencia para afrontar el nuevo paradigma de una manera eficiente y exitosa.


Test de Intrusión | Ethical hacking

Las organizaciones que brindan diferentes servicios por medio de Internet se encuentran expuestas a un gran numero de amenazas, entre ellas, los ataques perpetrados por ciberdelincuentes que aprovechan vulnerabilidades de seguridad existentes. 

El Penetration Test conforma una serie de pruebas y análisis mayormente científico, basado en mejores prácticas seguridad, métricas aplicadas y fuertemente experiencia práctica de los especialistas involucrados.

El objetivo general es emular el comportamiento de un intruso malicioso (delincuente informático), de forma tal que se puedan encontrar debilidades y vulnerabilidades. La conjunción permite determinar determinados riesgos en la infraestructura informática de la organización. En base a ello el siguiente paso será tomar acciones preventivas, mitigantes o correctivas.

En particular el Penetration Test, determina cómo se encuentra el nivel de seguridad de la organización, los puntos críticos y las posibilidades de acción frente a estos

¿Qué tipos de servicios Penetration Test existen?

Según la información a descubrir:

  • Black Box (Blind): El Security Tester, no cuenta con ninguna información del objetivo.
  • Double Black Box (Double Blind): El cliente NO tiene conocimiento de qué tipo de test se realizará, cómo se realizará ni cuándo.
  • White Box: El Security Tester tiene total conocimiento detallado sobre el objetivo. El cliente está alertado de las tareas a realizar por el Security Tester, al igual que la forma y el momento en que las realizará.
  • Gray Box: También conocido como Internal Testing. Examina el nivel de acceso desde la red interna (CEH Definition). El Security Tester, sólo conoce información parcial de los objetivos, la cual es seleccionada por el cliente.
  • Double Gray Box: El cliente tiene conocimiento de qué tipo de test se realizará pero NO tiene información sobre el cómo y cuándo

Según el procedimiento operativo a realizar:
  • Remote Network Hack: Simula un ataque a través de Internet.
  • Remote Dial-Up Network Hack: Simula un ataque lanzado contra el pool de módems del cliente (War dialing).
  • Local Network Hack: Simula el ataque de una persona con acceso físico tratando de obtener accesono autorizado a través de la red local.
  • Stolen Equipment Hack: Simula el hurto de un recurso que posea información crítica, como una laptop.
  • Social Engineering Attack: Simula un intento de obtención de información a través de dicha técnica.
  • Physical Entry Attack: Simula el intento de intrusión física a las facilidades de la organización.

Según el objeto bajo análisis puede ser:
  • Sistema Operativo: Instalaciones por default, servicios iniciados, bugs de desarrollo.
  • Aplicaciones: Aplicaciones mal desarrolladas, sin testing y/o sin mantenimiento.
  • Código Shrink-Wrap: Funcionalidades legales de una aplicación que pueden ser utilizadas con fines maliciosos. Ej: Macros, Scripts, etc.
  • Errores de Configuración: La mayoría de los sistemas presentan vulnerabilidades ocasionadas por configuraciones débiles o incorrectas

¿Cómo se realiza este servicio de Penetration Test?

  1. Reconocimiento (Reconnaissance):  Recolectar la mayor cantidad de información sobre la víctima como sea posible, utilizando todos los medios disponibles. Técnicas: Búsqueda de Información en la Web, Information Gathering, Dumpster Divinig (Pasivas), Network Scanning, Ingeniería Social (Activas), etc.
  2. Escaneo (Scanning): Utilizando la información obtenida en el paso 1 se examina la red informática de la víctima en busca de potenciales vulnerabilidades. Técnicas: Dialers, Port Scanners, Network Mappers, Sniffers, VulnerabilityScanners, Wireless Detectors, Sweepers, etc.
  3. Obtención de Acceso (Gaining Access): También llamado “Fase de Penetración”, es donde se efectiviza el ataque al hacer uso de las herramientas de explotación de Vulnerabilidades. Técnicas: DoS y DDoS, Exploiting, Session Hijacking, Password Cracking, BufferOverflow, Remote Access, etc.
  4. Mantenimiento del Acceso (Maintaining Access): Una vez accedido al sistema, el atacante deberá establecer un método de reingreso simple y sin controles. Técnicas: Backdoors, Rootkits, Troyans, Reconfiguración del Sistema, inicio o baja de servicios específicos, atacar otros equipos dentro de la red, etc.
  5. Eliminación de Rastros (Clearing Tracks): El atacante debe cubrir su historial de actividad para evitar ser detectado y nodivulgar las acciones realizadas para poder prolongar su ataque, lograr el reingreso y permanencia en el sistema, eliminar evidencias de su ataque yevitar acciones legales. Técnicas: Esteganografía, Borrado o modificación de los archivos de logs, implantación de túneles de acceso invisibles, indetectables o ilegibles, etc.


Informática Forense | Computer forensics

Ante la ocurrencia de un incidente de seguridad muchas veces las organizaciones necesitan poder identificar de manera objetiva las posibles causas de su ocurrencia. En otras situaciones, la justicia involucrada en ciertas investigaciones requiere también de un proceso objetivo para poder sacar conclusiones. 


Implementaciones tecnológicas | Technological Implementations

La tecnología de la información es un campo que se encuentra en activo movimiento y evolución, esto produce la necesidad de constantes implementaciones y actualizaciones de la tecnología. 


Implementación ambientes de control | Control environments implementation

Las organizaciones que poseen marcos regulatorios fuertes o un fuerte apoyo al rol de auditoría interna son propicias a la necesidad del establecimiento de ambientes de control que permitan garantizar el cumplimiento de los políticas de seguridad. 


Physical Penetration Test

El proyecto consiste en la realización de un análisis activo (controlado, regulado y documentado) a un grupos de espacios físicos que han sido identificados de la organización. El objetivo es establecer una investigación sobre el nivel de seguridad general disponible a actores terceros, identificar las vulnerabilidades a las que se encuentran expuestos dichos espacios físicos investigados y posteriormente establecer los planes de acción pertinentes y necesarios para mitigar los potenciales efectos causados por los diferentes agentes de amenaza encontrados. El servicio se aplicará a las oficinas y cada uno de los objeto dentro de ellas aplicable bajo control en los espacios físicos identificados, alcanzando una proceso de pesquisa exhaustivo.

¿Cómo se realiza este servicio de Physical Penetration Test?

El objetivo principal del test es analizar los sistemas objetivos desde el perímetro interno y externo mediante reconocimientos pasivos y activos. Sobre los resultados obtenidos, luego de hacer un análisis, filtrado y cruza de referencias, se generará un reporte indicando detalladamente los resultados de la investigación. La metodología a utilizar dividirá las tareas dentro de los siguientes módulos, desde los cuales se categorizará el reporte entregable al cliente:

  • Definición de tareas a realizar.
  • Determinación de herramientas a utilizar.
  • Desarrollo del análisis.
  • Obtención de resultados.
  • Análisis de los resultados y análisis cruzado de referencias.
  • Armado de propuestas de contramedidas recomendadas.
  • Diseño de un plan de acción.
  • Documentación formal y desarrollo del Informe Final.

En caso de encontrarse resultados que requieran atención inmediata, iniciaremos paralelamente un plan de acción específico sobre la situación presentada que entregue los procedimientos disponibles para mitigar dicha brecha de seguridad.

Fase: Transmisiones electrónicas

Información a obtener

  • Inspección, análisis y ubicación de señales inalámbricas que puedan estar trasmitiendo información de audio y/o video de manera oculta.
  • Análisis físico para la detección de elementos electrónicos que no transmitan señal desde el lugar, sino que posean una conexión cableada hacia una ubicación remota, y desde aquel lugar se realicen las transmisiones o grabaciones.
  • Búsqueda minuciosa de dispositivos ocultos de grabación de audio/video y/o reproducción o repetición de señales
  • Inspección de redes inalámbricas instaladas en las inmediaciones que trabajen activamente en la distribución no autorizada de información, o el acceso no autorizado a la red datos interna.

Técnicas y Herramientas a ser aplicadas:

  • Utilización de scanner de señales para determinar la frecuencia, origen y ubicación de la señal foránea, o aquellas que bloqueen todo tipo de señales inalámbricas.
  • Inspección manual de objetos ajenos que puedan haber sido introducidos de manera subrepticia con fines maliciosos, y que realicen retransmisión de comunicaciones, ya sean de audio, video o ambas.
  • Análisis manual de teléfonos fijos o IP, en búsqueda de elementos físicos ajenos que intercepten o anulen sus comunicaciones.
  • Análisis manual de artefactos eléctricos que puedan contener elementos de retransmisión de comunicaciones.
  • Búsqueda perimetral interna de señales WIFI que excedan a la lista de redes autorizadas.

Fase: Control de acceso

  • Puertas/ventanas/cerraduras/terrazas/pisos.
  • Guardias de Seguridad / Personal afectado a la seguridad periférica o focalizada.
  • Cámaras / Monitoreo / Control visual.
  • Proveedores/Clientes/Terceras partes.
  • Caminos y accesos alternativos.
  • Control de estadía (El efecto wallmart)

Fase: Puntos vulnerables y Denegación de servicio

  • Cuadro de tableros,distribuciones y fases eléctricas.
  • Comunicaciones y Telecomunicaciones.
  • Documentación, Procedimientos, Procesos y Políticas documentadas.
  • Áreas comunes y servicios, públicas o de tránsito privado.
  • Revisión y Testeo del plan de evacuación y gestión de crisis existente.


Human Penetration Test

  1. Investigación y revisión sobre información expuesta públicamente de diferentes grados de exposición del personal de la organización (directivos de empresas, familiares vinculados, personal bajo los niveles indicados de privacidad, etc.): Desarrollo de la investigación en Internet sobre la información pública existente sobre las personas de alto grado de impacto en virtud de la confidencialidad y privacidad de sus niveles jerárquicos, o bien, por el grado de exposición por la información en conocimiento confidencial de la empresa. Realizamos investigaciones intensivas en las redes digitales y sociales, junto con herramientas específicas para lograr el alcance mayoritario de lo expuesto en el ciberespacio.
  2. Ejecución del proceso de Ingeniería Social Interna: Se envían correos electrónicos a las cuentas internas de todos los empleados de la organización. Tiene como objetivo dos elementos de vulnerabilidad del lado humano. Primero, se busca obtener que los empleados realicen un click en links maliciosos. Paso seguido generar un contexto para que los empleados envíen voluntariamente información propia, de la empresa o confidencial dentro de la organización.
  3. FBHT: Sobre la base de una herramienta de desarrollo propio, , desarrollamos un análisis masivo de la presencia digital de empleados en redes sociales y sus nodos transitivos, con una precisión de hasta 20 niveles de profundidad. Luego investigamos información publicada en este punto de análisis y calculamos el índice de probabilidad de un data leaks (fuga de datos).
  4. Talleres de concienciación: Desarrollamos actividades de introspección focalizadas en las vulnerabilidades humanas encontradas, generando un proceso de concientización escalonado en mejora interna de seguridad. Los talleres se focalizan en:
    • Resguardos y precauciones en la presencia y exposición en Internet y Redes Sociales.
    • Mejores prácticas y uso de modo seguro en las redes sociales principales.
    • Reflexión y acciones concretas para prevenirse para no caer en engaños, fraudes y ataques de ingeniería social.
  5. Ingeniería social integrado con seguridad física personal: Tiene como objetivo penetrar los límites físicos de la organización, basado en la animosidad permisiva del personal bajo una estrategia de ingeniería social dirigida. Dentro de las acciones a ejecutar son:
    • Ingeniería social y PNL orientada.
    • Obtención de información. Desinformación. Inyección de información. 
    • Entrevista informal.
    • Bypass de control de acceso.
    • Desenfoque de información.
    • Desacreditación del personal.

Yield Psycho Social (YPS)

El mundo social se ha expandido en el plano social hace ya unos años. Plano digital compartido entre las redes sociales personales, profesionales y propiamente el sinnúmero de contenidos donde nuestra antropología cultural hace de nosotros un ser único.

La vida real ha extendido su alcance. No podemos cerrarnos a decir que la vida social es solo la que ocurre en el plano físico. El plano digital es nuestra vida real también. Sin duda una porción de nuestro tiempo accionamos, nos comunicamos, compartimos y nos leemos en términos digitales.

Nuestras relaciones y actividades en el ámbito digital pueden ser estudiadas y analizadas desde la óptima psicológica y psicosocial. Nuestro perfil psicosocial digital se encuentra determinado por la infinidad de “me gusta”, comentarios que realizamos, grupos en donde participamos, los “amigos” que tenemos y el tipo de lenguaje que utilizamos en nuestros círculos sociales.

Es por ello que la combinación de nuevas tecnología de análisis y la vinculación con análisis del aspecto personal, psicológico y social, hacen de manera consolidada e integral una revisión de lo que la persona “es” y “hace” en este nuevo ámbito. El carácter transitivo vincular en los diferentes planos indicados permite complementar el análisis que actualmente pueden ser aplicados en términos de recursos humanos, análisis de dinámicas de grupos, pericias digitales, investigaciones de perfiles, investigaciones privadas, entre otros.

Este estudio conlleva cuatro pilares integrados y relacionados:

  1. Estudio del Ser Psico Digital: elementos relevantes a la imagen pública de la persona, quién soy, qué soy, cómo me presento, qué me gusta, etc.
  2. Estudio del Ser Social Digital: elementos de relación y vínculos entre personas, grupos digitales y participación de comunidades digitales.
  3. Estudio del Ser Decir Digital: elementos asociados a los temas comentados y publicados, desde la base de contenidos y estructuras del lenguaje utilizadas.
  4. Estudio del Ser Hacer Digital: elementos que presentan acciones de construcción, conducción, control y realización en los ámbitos digitales, denotando el qué de la acción y connotando el por qué y el para qué.




Autoevaluación de Seguridad de la Información (Oscar Schmitz)

Les acercamos una guía de preguntas disparadoras, que permitirán autoevaluarse y generar un espacio de reflexión.

Estas preguntas invitan de manera consolidada a plantearse la posición de la organización o grupo de trabajo, frente a la seguridad de la información desde todos los dominios de las normas internacionales.

  1. ¿Cuáles son las políticas de seguridad que protege las actividades de nuestro equipo de trabajo u organización? ¿Consideramos que la máxima autoridad responsable de la organización se encuentra comprometida con estas políticas?
  2. ¿Quién es la persona referente en gestionar los aspectos de la seguridad de la información dentro de nuestro equipo de trabajo? ¿Cómo se encuentran conformados los roles dentro de nuestro equipo de trabajo? ¿Para qué están cada uno de ellos?
  3. ¿Para qué debe acceder un tercero a los activos de información de nuestro equipo de trabajo? ¿De qué tercero estamos hablando? ¿Cuáles son los mecanismos de control que utilizamos cuando accede un tercero?
  4. ¿Las actividades contratadas externamente cumplen las mismas o mejores políticas de seguridad que la de nuestra organización?
  5. ¿Cuáles son los activos de información más relevantes con los que tenemos contacto? ¿Qué clasificación poseen? ¿Cómo están siendo protegidos?
  6. ¿Cómo es protegida la propiedad intelectual de los programas que desarrollamos? ¿Cómo está estructurado el licenciamiento de nuestros desarrollos?
  7. ¿Tenemos un módulo de seguridad totalmente probado y alineado a las mejores prácticas internacionales? ¿Cómo hemos implementado la administración de privilegios y perfiles dentro del aplicativo? ¿Qué características distintivas puedo indicar sobre el concepto de contraseñas en nuestros desarrollos?
  8. ¿Cuáles son los controles y monitoreos que son propuestos a través del módulo de seguridad de nuestro aplicativo? ¿Qué reportes o informes ofrece? ¿Qué actividades de seguridad del usuario estamos registrando?
  9. ¿Cada cuánto realizamos un entrenamiento de nuestros sistemas a todos nuestros clientes? ¿Y sobre los aspectos aplicados a la seguridad de los activos de información? ¿Nuestros clientes nos piden el entrenamiento o nosotros realizamos el pedido en forma periódica? ¿Nuestros clientes saben lo que no saben o no saben que no saben?
  10. ¿Cuál es el circuito administrativo con que cuenta nuestro equipo de trabajo, para la recepción, seguimiento, resolución y aprendizaje de los incidentes o errores encontrados por nuestros clientes?
  11. Antes de que nos retiremos de nuestro escritorio ¿Bloqueamos la pantalla de nuestra computadora a fin de que ninguna persona pueda acceder a nuestra información?
  12. Antes de retirarse de la organización ¿Controlamos que la información que queda en nuestro escritorio no sea confidencial y sea fácilmente accedida por un tercero?
  13. ¿Cuál es nuestro plan de acción en caso de ocurrir una emergencia en las instalaciones de nuestra organización que impida darle continuidad al negocio?
  14. ¿Nuestro equipo de trabajo posee separado las funciones de control de las operativas, y las administrativas de las de ejecución?
  15. ¿Se encuentran separados los ambientes de desarrollo, prueba y producción?
  16. ¿Con qué frecuencia realizamos copias de resguardos de nuestra información? ¿Por cuánto tiempo son resguardadas?
  17. ¿Cómo se definieron los requerimientos de seguridad del módulo de seguridad de nuestro aplicativo? ¿Desarrollamos un módulo único o distinto por cada uno de los aplicativos desarrollados?
  18. ¿Con qué validaciones cuenta el ingreso de datos de nuestro aplicativo? ¿Qué controles de proceso interno posee? ¿Qué controles conciliatorios implementamos en la exposición de datos de salida?
  19. ¿Qué metodología utiliza nuestro equipo en la protección de los programas y bases de datos utilizados en nuestros desarrollos? ¿Quién es la persona responsable de la protección y seguimiento de estos activos de información?
  20. ¿Cómo determinamos los riesgos y el momento oportuno de la instalación de paquetes de programación en los diferentes ambientes de prueba y producción? ¿Cómo es el proceso de control y validación?


Consultoría Estratégica en Seguridad de la Información

¿Qué es un activo de información?

Si nos tomamos unos minutos para analizar un día completo en las organizaciones, comprendemos que en cada una de las actividades que desarrollamos estamos en contacto con información que nos permite mejorar el conocimiento y aprender, reducir nuestra incertidumbre permitiéndonos decidir la mejor acción entre varias, o proporcionar una serie de reglas con fines de control o evaluación.

La información se convierte en un activo, tan importante como los activos económicos y humanos que posee la organización, y por consiguiente deben ser protegidos de un modo adecuado. Ninguna persona estaría de acuerdo en perder dinero, debido a un agujero en el bolsillo. Ningún líder de proyecto estaría conforme en perder uno de los talentos de su equipo, particularmente en medio de un proyecto. Ningún programador estaría motivado en comenzar su día laboral al enterarse que la última versión del código fuente finalizado ayer, se ha perdido debido a que el servidor que lo almacenaba quedó fuera de funcionamiento y la última copia de seguridad disponible es de un mes atrás.

Los tres pilares del valor de la información

¿Cuál es el valor de los activos de información para nuestra organización, para nuestro equipo de trabajo y para nosotros mismos? A fin de determinar el valor de estos activos, debemos conocer los tres pilares que clasifican la importancia y prioridad de los mismos:

  • Confidencialidad: solo podrán acceder a la información (usarla, leerla o escucharla) las personas autorizadas.
  • Integridad: la información con la que se trabaja sea completa y precisa, poniéndole énfasis en la exactitud tanto en su contenido como en los procesos involucrados en su procesamiento. Este pilar determina la manera en que es controlada la persona antes de acceder a la información.
  • Disponibilidad: la información estará disponible siempre que cualquier persona autorizada necesite hacer uso de ella. Clasificando este pilar de acuerdo a la velocidad de recupero necesaria para que la información esté disponible.

¿Qué es seguridad de la información?

La seguridad de la información protege a los activos de información respecto a una gran cantidad de amenazas, asegurando a la organización que la frecuencia y el impacto de los riesgos sean mínimos, considerando que la rentabilidad y la relación costo/beneficio sean los más eficientes.

Las organizaciones dependen para funcionar de su información, sus sistemas aplicativos, bases de datos, redes de comunicaciones, infraestructura, procesos y las personas. Los activos de información no fueron diseñados y desarrollados para que sean seguros, debido a que el esquema de seguridad aplicado a los mismos muchas veces es obsoleto o desconocido. En el marco de la seguridad debemos realizar la planificación paralela que considere los diferentes controles de la protección de los activos de información.

La seguridad de la información es un proceso que evoluciona con toda la organización, involucra el compromiso de todas las personas de la empresa, incluso en muchos casos es extensivo a los clientes y proveedores de la misma, es decir, es un proyecto multidisciplinario aplicado a la cadena de valor completa. Si bien existen medios tecnológicos o técnicos que permiten mejorar la seguridad, actualmente no son suficientes por si solos. Debemos complementarlos con un detallado análisis e identificación de los puntos de riesgo, una cuidadosa planificación de los controles a realizar, una gestión de seguridad que involucre a todos y una adecuada implementación de procedimientos de acuerdo a lo relevado.

¿Cuál es el alcance de los servicios?

Consultoría Focalizada:

Tenemos como objetivo principal el determinar el nivel de seguridad informática real brindado por la plataforma tecnológica de cada organización y en función a eso, poder determinar las directrices para alcanzar el nivel de seguridad óptimo.

Este servicio se basa en el profundo conocimiento y experiencia de nuestro equipo y en las metodologías de análisis y prueba basadas en estándares internacionales en la materia.

La integración de estos elementos al análisis a detalle de la operación de su organización da como resultado una estrategia de Seguridad de la Información válida acorde a las necesidades operativas de cada uno de nuestros clientes.

Talleres Consultivos Operativos y Tácticos:

Uno de nuestros principales servicios es brindarles a los profesionales y al equipo de seguridad y tecnología de la organización, Talleres y Seminarios Consultivos altamente desarrollados acordes al requerimiento del mercado actual.  El factor diferencial, puntualmente, reside en la confección de capacitación customizada y organización de , Talleres y Seminarios Consultivos  In Company.
Hemos logrado un plantel capacitados no solamente en su conocimiento académico sino también en su experiencia profesional, lo que nos permite proveer a nuestros clientes una modalidad diferente a la habitual. Debido a que cada organización es un ambiente totalmente distinto, es que dentro de nuestros servicios de capacitación ofrecemos la posibilidad de diseñar programas a medida, a fin de poder brindar talleres más específicos y adaptados a cada organización.

Este servicio está pensado para las empresas que:

  • No requieren un simple servicio de consultoría del que luego terminen dependiendo por no manejar los pormenores técnicos de la solución.
  • No requieren un servicio de consultoría con transferencia de know how que normalmente no sirve como capacitación para su personal, debido a que fue dado por personas sin experiencia docente en temas de tecnología.

Nuestra modalidad es ofrecer un Taller Consultivo cuyo temario se crea especialmente para los problemas tecnológicos que la organización debe solucionar  y de acuerdo a la formación técnica del personal que va a llevar a cabo el proyecto definido.

Todas las acciones de capacitación prácticas se realizan sobre el sistema o con la finalidad de implementarlas en él.

Una vez finalizados los servicios de consultoría y capacitación, la organización se encontrará con el problema resuelto y su equipo capacitado para continuar manteniendo la solución implementada.

Asesoramiento sobre Soluciones de Seguridad del Mercado

La amplia variedad de ofertas en materia de soluciones en seguridad informática y la necesidad de los distribuidores de venderlas hace que al momento de decidirse por alguna de ellas el panorama sea poco claro y muchas veces subjetivo.
Les proponemos realizar el análisis de factibilidad y mejor solución que se integre a su organización proponiendo las más efectivas tomando como referencia la situación actual del cliente, en base a la relación costo-beneficio.

Algunos tips a considerar: Plataformas,  Software y Hardware de Seguridad, Configuraciones Especificas, Proveedores de Servicios y Protocolos a Implementar.


Mentoring Estratégico, Políticas y Procedimientos

Para poder reflejar una integración entre información, infraestructura, procesos y personas en el plan de la seguridad es necesario definir una estrategia de Seguridad de Gestión de la Seguridad de la Información, aplicando un plan, políticas y procedimientos en las que se ponga de manifiesto la relación vinculante entre las personas y los activos de información.

Destacamos que el disparador de este servicio consultivo se hace por requisito, necesidad de cumplimiento regulatorio o de normativas de la industria, como así también por temas políticos internos o basados en aspectos legales. En los últimos años notamos que una directiva de aplicación es de demostrar al cliente regularidad y orden en sus operaciones, por consiguiente un factor diferenciador de valor para ellos.

¿Cuáles son los beneficios de aplicar una buena práctica o estándar de la industria?

  1. Anula de los efectos negativos de “reinventar la rueda.
  2. Reduce la dependencia con los expertos tecnológicos internos o externos.
  3. Mejora el potencial del personal con menos experiencia del equipo de trabajo.
  4. Mejora y es mucho más fácil la colaboración con otros equipos de trabajo externos a la organización.
  5. Reduce los riesgos en términos de su frecuencia e impacto.
  6. Reduce la cantidad de errores.
  7. Mejora la calidad de la información utilizada.
  8. Mejora la calidad de los procesos de trabajo.
  9. Mejora las habilidades para gestionar y monitorear las actividades del equipo de trabajo.
  10. Reducen los costos operativos basándose en la estandarización incremental de los procesos.
  11. Mejora la confianza y confidencia, entre los integrantes del equipo la organización, socios, clientes y proveedores.
  12. Crea respeto ante las entidades reguladoras u controladoras externas.
  13. Protege y provee un valor diferencial para la organización.

 Algunas de las normas que podemos mencionar

- Norma ISO 27001: ISO/IEC 27001 es una norma adecuada para cualquier organización, grande o pequeña, de cualquier sector o parte del mundo. La norma es particularmente interesante si la protección de la información es crítica, como en finanzas, sanidad sector público y tecnología de la información (TI).

- Norma ISO 27002: El Estándar Internacional ISO/IEC 27002 nace bajo la coordinación de dos organizaciones:ISO: International Organization for Standardization y IEC: International Commission.
ISO e IEC han establecido un comité técnico conjunto denominado ISO/IEC JTC1 (ISO/IEC Joint Technical Committee). Este comité trata con todos los asuntos de tecnología de información. La mayoría del trabajo de ISO/IEC JTC1 es hecho por subcomités que tratan con un campo o área en particular. Específicamente el subcomité SC 27 es el que se encarga de las técnicas de seguridad de las tecnologías de información, que es en esencia de lo que trata el Estándar Internacional ISO/IEC 27002 (antiguamente llamado ISO/IEC 17799, pero a partir de julio de 2007, adoptó un nuevo esquema de numeración y actualmente es ISO/IEC 27002).

- Norma ISO 27005: Gestión del Riesgo.

- BS 25999-2 / ISO 22301: política de continuidad del negocio, análisis del impacto en el negocio, evaluación de riesgos, estrategia de continuidad del negocio, planes de continuidad del negocio, prueba y verificación, etc.

- ISO 9001: Sistema de calidad-Modelo para el aseguramiento de la calidad en el diseño y desarrollo. Producción, Instalación y Servicio. Es el más amplio estándar de las series. ISO 9001 cubre todos los elementos listados en la ISO 9002 y 9003. Adicionalmente, se establecen capacidades de diseño, desarrollo y servicio.

- ISO 9002: Sistema de calidad-Modelo para el aseguramiento en calidad en producción e Instalación, estableciendo la prevención, detección y corrección de problemas durante la producción e instalación. Es más extensa y sofisticada que la ISO 9003.

- Norma ISO 17799: Surgida de la norma británica BS 7799, la norma ISO 17799 ofrece instrucciones y recomendaciones para la administración de la seguridad.
La norma 17799 también ofrece una estructura para identificar e implementar soluciones para los siguientes riesgos:
1.- Políticas de Seguridad.
2.- Normas Organizativas de la Seguridad.
3.- Clasificación y Control de Activos.
4.- Cumplimiento Legal.
5.- Control de Accesos.
6.- Seguridad del Personal.
7.- Seguridad Física y Ambiental.
8.- Desarrollo y Mantenimiento de Sistemas.
9.- Continuidad del Negocio.
10.- Gestión de Comunicaciones y Operaciones.

- Norma SOX: La Ley Sarbanes – Oxley (SOX) es una ley estadounidense que entró en vigor el 30 de Junio de 2002, después de su aprobación por el Congreso de los Estados Unidos, con la cual se le dio fuerza de ley al denominado “Act de 2002”.  La citada ley aplica para todas las empresas que cotizan en la Bolsa Nueva York y señala los requisitos que las mismas deben cumplir para poder operar en territorio y mercado estadounidense.

- Norma IRAM: El IRAM (Instituto Argentino de Normalización y Certificación) es una asociación civil sin fines de lucro. Su labor específica, en tanto Organismo Argentino de Normalización, es establecer normas técnicas, además de propender al conocimiento y la aplicación de la normalización como base de la calidad . Esto último incluye la promoción de actividades de certificación y de sistemas de calidad en las empresas, para así brindar seguridad al consumidor.


No hay comentarios.

Imágenes del tema de Bim. Con tecnología de Blogger.