top of page
Logo Artion
Gradiente 5.png

SEGURIDAD DE LA

INFORMACIÓN

La información es un activo valioso de la organización, por ello nuestro servicio se orienta a la protección de aquella información fundamental de los procesos de negocio. 

Ofrecemos soluciones integrales para garantizar la seguridad de sus sistemas y datos, adaptadas a sus necesidades específicas.
 

MIRA TODOS LOS SERVICIOS RELACIONADOS CON SEGURIDAD DE LA INFORMACIÓN
QUE OFRECEMOS.

Gradiente 4.png

  •  Consiste en realizar una evaluación exhaustiva del nivel de madurez y fortalezas / debilidades del Programa de Seguridad de la organización.


    Alcance:

    • Análisis de la infraestructura tecnológica, redes, servidores, endpoints, aplicaciones y datos.

    • Revisión de políticas, procedimientos, gestión de identidades y accesos.

    • Evaluación de controles de seguridad, monitoreo, detección de incidentes.

    • Levantamiento de amenazas y riesgos actuales y futuros.

    • Verificación de cumplimiento normativo.

    Metodología:

    • Entrevistas a stakeholders.

    • Revisión documental.

    • Evaluaciones técnicas (escáner de vulnerabilidades, pruebas de intrusión, etc).

    • Análisis GAP entre situación actual y buenas prácticas.

    • Generación de hallazgos, priorizados por nivel de riesgo.

    Entregables:

    • Informe ejecutivo de resultados.

    • Plan de mejora con recomendaciones y plazos de implementación.

    • Seguimiento para apoyar la puesta en marcha de las mejoras.

    El servicio permite conocer el estado de la seguridad, gestionar riesgos e invertir de manera enfocada.

  •  A raíz de la publicación de la Ley Marco Sobre Ciberseguridad en el Diario Oficial el 8 de Abril de 2024 las empresas deben verificar si están entre aquellas que la  ley obliga, y en caso de estarlo comenzar a evaluar que significará implementar los requisitos que la nueva normativa significa.

    En Artion hemos diseñado este servicio que permite mediante la ejecución de sus fases resolver:


    Fase 1: Identificación

    • Verificación de clasificación de la empresa según la ley.

    • Análisis de obligaciones y riesgos.

     

    Fase 2: Evaluación

    • Análisis de brechas entre situación de ciberseguridad actual respecto a las obligaciones de la ley Marco.

    • Plan de acción para resolver las no conformidades.​

     

    Fase 3: Seguimiento y mejora

    • Implementación del plan de acción.

    • Evaluación periódica y mejora continua.

    Es importante destacar que este servicio se adaptará a las necesidades y características específicas de cada empresa, considerando su tamaño, industria, recursos y nivel de madurez en ciberseguridad. 

  • Para implementar la Estructura de Gobierno para la Seguridad/Gobernanza de una empresa, nuestro servicio considera las siguientes etapas:

    • Definición Estratégica: Partimos de una definición estratégica existente en la empresa para la Seguridad de la Información. en caso que no existiere ayudamos a generarla. Establecemos los objetivos y planes de seguridad alineados con los objetivos generales de la organización.

    • Comité de Seguridad de la Información: Recomendamos y ayudamos a implementar el Comité de Seguridad de la Información en el nivel estratégico. Este comité define la visión de seguridad, asigna los recursos necesarios y establece los objetivos de seguridad.

    • Oficial de Seguridad de la Información (OSI): Ayudamos a establecer el rol Oficial de Seguridad de la Información en el nivel táctico. Este profesional se encarga de gestionar los recursos y proyectos de corto y mediano plazo, monitoreando el nivel de protección logrado.

    • Nivel Operacional: Involucramos a las áreas operativas y a sus líderes en el proceso de seguridad. Esto implica comprometer a áreas específicas, como Recursos Humanos, TI, Finanzas, etc., y a sus respectivos líderes en la implementación y operación de los controles de seguridad.

    • Creación y Puesta en Marcha: Proveemos acompañamiento en la creación y puesta en marcha de esta estructura. Generamos la documentación necesaria, incluyendo roles, procesos y reglamentos asociados a la seguridad y gobernanza de la información.

  • La planificación de la seguridad de una empresa la hacemos siguiendo las siguientes etapas:

    • Identificación y Priorización de Riesgos: Identificamos los riesgos relacionados con la información en los procesos críticos de la organización. Esta identificación permite priorizar las actividades de mitigación y asignar los recursos de manera efectiva.

    • Plan de Seguridad de la Información: Elaboramos un Plan de Seguridad de la Información en el cual se alinean los proyectos e iniciativas de seguridad con las prioridades de la organización. Este plan proporciona una visión clara de las actividades de seguridad a corto, mediano y largo plazo.

    • Estrategias, Actividades y Recursos: El plan traza de manera clara las estrategias, actividades y recursos necesarios para garantizar la protección de la información. Ayudamos a establecer mecanismos de coordinación y seguimiento para asegurar la eficacia de los procesos de protección.

    • Estructura Organizativa: Ayudamos a definir y establecer una estructura organizativa adecuada con los recursos necesarios para implementar las medidas de seguridad.

  • Nuestra Auditoría de Riesgos y Seguridad aborda la complejidad de los procesos de protección del negocio y la información. De manera metódica, revisamos la implementación y el cumplimiento de los procesos de Gestión de Riesgos, Seguridad de la Información y Ciberseguridad. Adaptándonos a sus necesidades, esta auditoría puede abarcar todos los controles de seguridad o centrarse en áreas específicas.
    Nuestro servicio consiste en:

    • Identifica los riesgos, tanto del negocio como de TI, derivados de la falta de seguridad o de una implementación inadecuada.

    • Detecta brechas, en definición e implementación de la seguridad que impliquen vulnerabilidades a la protección.

    • Verifica el estado y la corrección de las No Conformidades.

    • Evalúa el nivel de actualización de la documentación de los procesos de Gestión de Riesgos, Seguridad de la Información y Ciberseguridad.

    • Ofrece recomendaciones, como la optimización de procesos y mejoras en la gobernanza de los procesos de Gestión de Riesgos, Seguridad de la Información y/o Ciberseguridad.

    • Proporciona una visión imparcial a cargo de profesionales independientes, sin conflictos de interés con los resultados. Aportamos valor al garantizar la seguridad y el cumplimiento normativo.

  • Nuestro servicio de Controles TI se enfoca en establecer, revisar y mejorar las medidas de seguridad para proteger los sistemas informáticos y la información de su organización contra amenazas y riesgos cibernéticos. Estos controles están diseñados para salvaguardar la confidencialidad, integridad, disponibilidad y privacidad de los datos, y consiste en:

    • Arquitectura de redes: Evaluamos y diseñamos la arquitectura de redes para garantizar una infraestructura sólida y segura. Esto incluye la segmentación de redes, la configuración de firewalls y la implementación de tecnologías de detección y prevención de intrusiones.

    • Protección de estaciones de trabajo: Recomendamos medidas de protección para las estaciones de trabajo, como el control de acceso, antivirus y antimalware, cifrado de datos, entre otros. Esto ayuda a prevenir el acceso no autorizado y a mitigar los riesgos de malware y ataques dirigidos.

    • Respaldo y recuperación: Establecemos políticas y procedimientos de respaldo y recuperación de datos para garantizar la disponibilidad y la continuidad del negocio en caso de incidentes o desastres. Esto incluye la realización periódica de copias de seguridad y la validación de la integridad de los datos respaldados.

    • Seguridad del software de aplicación: Recomendamos controles de seguridad en el desarrollo, implementación y mantenimiento del software de aplicación utilizado en su organización. Esto ayuda a prevenir vulnerabilidades y proteger los datos sensibles procesados por las aplicaciones.

    • Gestión de accesos y permisos: Establecemos controles para garantizar que los usuarios tengan acceso adecuado y autorizado a los recursos y sistemas de información. Esto incluye la implementación de políticas de contraseñas seguras, la autenticación multifactor y la gestión de privilegios de usuario.

    • Acceso restringido a áreas críticas: Recomendamos medidas de seguridad para restringir el acceso físico y lógico a áreas críticas de su infraestructura tecnológica. Esto incluye el control de acceso físico mediante sistemas de cerraduras electrónicas y el establecimiento de políticas de acceso basadas en roles y responsabilidades.

    • Monitoreo: Recomendamos soluciones de monitoreo de seguridad para detectar y responder de manera proactiva a posibles amenazas y eventos de seguridad. Esto incluye la supervisión de registros de eventos, la detección de anomalías y la generación de alertas tempranas.

  • Nuestro servicio de externalización del Oficial de Seguridad de la Información (OSI) provee de un profesional altamente calificado, in-situ, que permite cubrir los ámbitos de responsabilidad del OSI, que consideran al menos lo siguiente:
     

    • Gobernanza de Seguridad: Incorporarse a la estructura de gobierno de la seguridad de la información, definiendo las tácticas para cumplir los lineamientos estratégicos de las instancias superiores y velar por el cumplimiento de las políticas de seguridad.

    • Concienciación y Formación: Participar del desarrollo de programas de concienciación de la cultura de seguridad en la organización, y educación sobre las políticas, procedimientos y buenas prácticas en seguridad de la información.

    • Gestión de Riesgos: Acompañar los análisis de vulnerabilidades e identificación de amenazas y realizar evaluaciones de riesgos a los activos de información. Identificar riesgos a partir de controles de seguridad deficientes. Hacer seguimiento de los planes de mitigación de riesgos, definidos en conjunto con las unidades operativas.

    • Implementación de Controles: Implementar y gestionar el cumplimiento de los controles de seguridad para proteger los activos de información.

    • Gestión de Incidentes de Seguridad: Ser el enlace del comité estratégico de gestión de incidentes con los equipos tácticos y operativos de respuesta a incidentes. Realizar la mejora continua de los procesos de respuesta en base al análisis ex-post.

    • Cumplimiento Normativo: Vigilar el cumplimiento de las políticas de seguridad y la correcta aplicación de los procedimientos respectivos.

    • Supervisión y Mejora Continua: Realizar la mejora continua del proceso de seguridad en base a las deficiencias detectadas en los controles existentes, mediante la construcción de reportes de fallas e implementación de cambios que son sancionados por las instancias estratégicas.

    • Supervisión OSI: Se establece un protocolo con el Cliente para que un Consultor Senior de Artion participe, al menos mensualmente, en la supervisión de las actividades que ejecuta el OSI.

  • Nuestro servicio de consultoría de certificación en Seguridad de la Información brinda apoyo integral a lo largo de todo el proceso de preparación para obtener una certificación reconocida. Nuestro enfoque incluye los siguientes aspectos:

    • Evaluación Inicial: Realizamos una evaluación exhaustiva de la organización y sus prácticas actuales en relación con los requisitos de la norma de seguridad de la información. Identificamos las brechas existentes y proporcionamos recomendaciones sobre las acciones necesarias para cumplir con los estándares requeridos.

    • Planificación, Desarrollo y Preparación: Trabajamos en estrecha colaboración con la organización para desarrollar un plan detallado que aborde las áreas de mejora identificadas. Proporcionamos orientación en la implementación de los controles de seguridad requeridos, la documentación de políticas y procedimientos, y la capacitación del personal en las mejores prácticas de seguridad.

    • Soporte durante la Pre-Auditoría: Brindamos asistencia y acompañamiento durante la etapa de pre-auditoría realizada por un tercero. Esto implica revisar y verificar que todos los requisitos de la norma estén debidamente implementados y documentados, y preparar a la organización para la auditoría final.

    • Apoyo en las Correcciones Sugeridas: En caso de que el auditor tercero identifique áreas de mejora durante la auditoría, brindamos apoyo para abordar y corregir estas sugerencias. Trabajamos en estrecha colaboración con la organización para implementar las acciones correctivas necesarias y garantizar el cumplimiento de los estándares de seguridad de la información.

bottom of page