Servicios

"Hágase asesorar por expertos, conozca nuestros servicios..."

 

Head Hunting: www.proconsulting.cl

Sistema Gestión de Seguridad de la Información

















  • Plan (Establecer el ISMS): Implica, establecer a política ISMS, sus objetivos, procesos, procedimientos relevantes para la administración de riesgos y mejoras para la seguridad de la información, entregando resultados acordes a las políticas y objetivos de toda la organización.
  • Do (Implementar y operar el ISMS): Representa la forma en que se debe operar e implementar la política, controles, procesos y procedimientos.
  • Check (Monitorizar y revisar el ISMS): Analizar y medir donde sea aplicable, los procesos ejecutados con relación a la política del ISMS, evaluar objetivos, experiencias e informar los resultados a la administración para su revisión.
  • Act (Mantener y mejorar el ISMS): Realizar las acciones preventivas y correctivas, basados en las auditorías internas y revisiones del ISMS o cualquier otra información relevante para permitir la continua mejora del ISMS.


Desarrollar e implementar un SGSI basado en ISO 27001, con políticas, normas y procedimientos de Seguridad de la Información.

Este sistema abarca los 11 dominios de la norma internacional ISO 27001:

  1. Política de Seguridad
  2. Aspectos Organizativos de la Seguridad de la Información
  3. Clasificación y Control de Activos
  4. Seguridad del Persona
  5. Seguridad Física
  6. Gestión de las Operaciones y Comunicaciones
  7. Control de accesos
  8. Adquisición, desarrollo y mantenimiento de los sistemas de información
  9. Gestión de incidentes de seguridad
  10. Gestión de la continuidad del negocio
  11. Cumplimiento

Para el incio de un proyecto SGSI se requiere el compromiso de toda la organización, y que sea patrocinado desde el Directorio. Es un proceso continuo, que requiere actualización permanente en el tiempo.

Acreditación Usuarios en Seguridad de Información

Este servicio tiene como objetivo acreditar las competencias básicas de Seguridad de la Información, en los usuarios que utilicen sistemas y/o información relevante para la compañía.


Metodología:

  • Prueba General de conocimientos básicos en Seguridad de la Información.
  • Prueba específica relacionada con las políticas de Seguridad de cada empresa.
  • Entrevista Psicológica Conductual (evaluación de competencias laborales necesarias para velar por el resguardo de información crítica).
  • Entrega de resultados al cliente, con los respectivos porcentajes de aprobación de los usuarios y certificado de acreditación.

Contacto: piera@pallavicini.cl

Plan de Contingencia Tecnológico

Este Plan, es un subconjunto y complemento necesario para el Plan de Continuidad de Negocio, está enfocado a resolver las contingencias tecnológicas, que impidan entregar los servicios del área de tecnologías y comunicaciones.

Este plan entre otras cosas contiene la documentación de los procedimientos alternativos, que se activan al producirse un escenario de falla que interrumpa el servicio.

Es recomendable que este plan sea probado al menos una vez al año, y que el resultado de sus pruebas sirva para actualizar y mejorar, el Plan de Contingencias Tecnológico.

Plan Continuidad de Negocio (BCP)


















Este Plan de Continuidad de Negocio, permite recuperar los Procesos Críticos del Negocio, en el menor tiempo posible, de acuerdo al análisis de riesgo y los recursos destinados por la compañía.

El Plan de Continuidad de Negocio incluye, a lo menos, las siguientes etapas:

  • Definición de Procesos Críticos
  • Definición de Escenarios de Fallas
  • Análisis de impacto en el negocio ( BIA )
  • Definición de Estrategia de Recuperación
  • Definición de Usuarios Críticos
  • Definición de Proveedores Críticos
  • Escalamiento de eventos de contingencia
  • Comunicados en Contingencia
  • Procedimientos de Contingencias alternativos ( forman el Plan )
  • Plan de Pruebas
  • Capacitación y Difusión


Normalmente, este plan es parte de la Gestión de Continuidad de Negocio ( BCM ).


Diagrama Plan de Pruebas

Oficial de Seguridad de la Información

Servicio de Outsourcing de Oficial de Seguridad de la Información: En las horas contratadas se cumple el Rol de Oficial de Seguridad Información ( OSI ), para velar por la confidencialidad, integridad y privacidad de la información, aplicando la norma ISO 27001 y los controles de ISO 27002.
Ver documento de Rol de Oficial de Seguridad de la Información.

Misión

Impulsar, apoyar y coordinar políticas, alineadas con estándares internacionales, reflejadas en medidas de seguridad, con el propósito de asegurar un entorno apropiado para la existencia de mecanismos y medios idóneos para lograr la seguridad integral de la información en la institución, y cautelar accesos apropiados que aseguren la disponibilidad, confidencialidad e integridad de los activos de información a los cuales tengan accesos los integrantes de la organización o terceros que brindan servicios de procesamiento.

Curso Oficial de Seguridad de la Información

Este curso de Oficial de Seguridad Información, se ha dado 2 veces en modalidad abierto, y el próximo está planificado para abril de 2011, también se da en modalidad cerrado para empresas privadas o estado.
Las materias tratadas se basan en las normas ISO 27001, 27002, 27004 ( métricas) y para el estado en el decreto supremo 83 y norma Nch 2777. Junto a estas normas se incluyen los módulos de Cobit, ITIL, Riesgo Legal, se explican casos prácticos de cómo hacer planes de seguridad, participación en el comité de seguridad, y la aplicación de controles.

Pre-Auditoría SAS 70

Realizar una Pre-Auditoría SAS70 basado en los objetivos de control y dominios de COBIT, aplicando matrices que abarcan todos los dominios y controles. Esta etapa es previa a la certificación de SAS70.

Las siglas SAS 70 son una auténtica vía hacia la confianza, ya que el reporte SAS 70 (Statement on Auditing Standards No. 70) es un estándar de auditoría reconocido internacionalmente enfocado a los controles internos y externos que posee una empresa que presta servicios. El reporte consiste en una revisión por parte de una firma auditora independiente certificada.

SAS 70 fue diseñado para proveer información a las organizaciones usuarias (y a sus auditores) acerca del control interno de la organización de servicios y verifica la existencia del control, su documentación, difusión y uso efectivo.

Además analiza su diseño y comprueba su efectividad operativa.

Básicamente, es una comunicación "de auditor a auditor".

La evaluación, la aprobación del diseño y la correcta operatividad de los controles durante un tiempo determinado.

Diagnóstico en Seguridad de la Información (ISO 27002)

Realizar un diagnóstico, obteniendo la brecha que existe con la norma, aplicando una metodología que abarca los 11 dominios y los 133 controles, emitiendo un informe con un puntaje final.

Este diagnóstico, permite a las empresas saber la brecha con la norma ISO, y planificar las actividades para acercarse a su cumplimiento.

El informe con mapa, entregado es similar al ejemplo:

Análisis Contratos de Proveedores Críticos

Realizamos una lista de todos los proveedores críticos del negocio, y luego solicitamos los contratos de servicios de esos proveedores, para analizarlos, emitiendo una opinión, adjuntando modificaciones y nuevas cláusulas de Seguridad de Información y de Continuidad de Negocio.

El objetivo de este servicio, es proteger los intereses del cliente frente a sus proveedores de tecnologías o críticos del Negocio.

Outsourcing de “Oficial de Continuidad de Negocio”

Misión

Impulsar, apoyar y coordinar políticas de Continuidad de Negocio, alineadas con estándares internacionales, reflejadas en medidas de seguridad, con el propósito de asegurar un entorno apropiado para la existencia de mecanismos y medios idóneos para lograr un proceso de Continuidad de Negocio integral que permanezca en el tiempo y asegure la inversión de sus accionistas.
Ver documento de Rol de Oficial de Continuidad de Negocio.

Talleres de educación en Seguridad de la Información

Consiste en un Taller con un máximo de 12 personas, a quienes se les dan charlas y se simulan situaciones, para lograr que tomen conciencia sobre la importancia de la Seguridad de la Información. El taller está inserto, en lo que se denomina "Evangelización" de usuarios y su objetivo es que el personal de la Empresa, aplique seguridad en forma natural, como una ayuda para ellos y no lo vea como una imposición de la administración superior. Este Taller puede adecuarse a las necesidades del cliente, e incorporar aspectos de Derecho Informático si fuera requerido.

Head Hunting

Este servicio está orientado a la búsqueda y selección de candidatos para cargos gerenciales, mediante la localización e identificación de profesionales, que ocupan cargos similares en otras organizaciones.

Incluye todo el proceso de evaluación técnica y sicológica, con un especial énfasis en la confirmación de las competencias especificadas en el perfil del cargo.

Nuestra principal fortaleza en este ámbito, es la gran red de contactos, que hemos adquirido en 12 años de consultoría, principalmente hemos buscado:

  1. Oficial de Seguridad de la Información
  2. Oficial de Continuidad de Negocio
  3. Profesionales de Riesgo Operacional
  4. Auditor de Sistemas
  5. Administrador de Seguridad de la Información
  6. Otros profesionales del área de Tecnologías


Auditoría Legal en Seguridad

¿En qué consiste?

El servicio de auditoría legal de seguridad es una revisión personalizada sobre el nivel de cumplimiento de ciertas normas legales y reglamentarias por parte de la compañía en un momento determinado.

La efectúan abogados especializados y utiliza metodologías que permiten medir el grado y modo de cumplimiento de ciertas normas por parte de la empresa; detecta los riesgos y vulnerabilidades a que se enfrenta; advierte las posibles consecuencias de mantener una situación de incumplimiento; y propone medidas de acción para corregir o mejorar la situación empresarial.

 

¿Por qué contratar una auditoría legal de seguridad?

Las razones para contratar una auditoría legal de seguridad, son distintas en cada empresa. A modo de ejemplo, pueden deberse a:

- Decisiones de directorio para prevenir riesgos legales;
- Sospechas de conductas que tal vez infrinjan la ley;
- Cambios en gerencia que necesiten conocer la situación legal de la compañía;
- Nuevas leyes que se apliquen al sector donde funciona la empresa;
- Obligaciones impuestas por Superintendencias y otros órganos públicos;
- Demandas en contra de la empresa;
- Perjuicios reales contra la compañía, por no detectar oportunamente riesgos legales.

Es recomendable realizar auditorías legales de seguridad con cierta frecuencia en una empresa, como controles y evaluaciones rutinarias. Así, la empresa puede verificar su nivel de cumplimiento de normas legales y los riesgos a que se enfrenta de mantener la situación.

Contratar una auditoría legal de seguridad para prevenir perjuicios, demandas y sanciones es una decisión inteligente y económicamente más conveniente que defenderse en un juicio o pagar una multa.

 

¿Qué ventajas se obtienen a través de una auditoría legal de seguridad?

Las ventajas son amplias, sobre todo considerando las razones que motivan contratarla. Por ejemplo:

- Se obtiene una evaluación externa e independiente sobre la situación legal de la compañía, útil para los directivos;
- Detecta puntos legales vulnerables o advertir sobre incumplimientos legales que pueden ser corregidos antes de recibir fiscalizaciones, demandas, multas u sanciones contra la compañía;
- Mejora la imagen de la empresa y la confianza de los socios, proveedores y clientes;
- Permite advertir sobre posibles beneficios legales que tiene derecho la empresa al cumplir ciertas normas;
- Apoya la labor de los asesores jurídicos estables de la compañía;
- Sugiere acciones para prevenir que se repitan problemas legales en el futuro.

 

Productos entregables:

- Informe de auditoría legal
- Documentos y matrices sobre nivel de cumplimiento legal, riesgos a que se expone la compañía, consecuencias posibles, observaciones y acciones recomendadas.
- Capacitación

 

Servicios de auditoría legal disponibles:

- Auditoría legal de seguridad de la información
- Auditoría legal de protección de datos personales
- Auditoría legal de propiedad intelectual
- Auditoría legal de transparencia



Nuestros Servicios