Consultoría

Consultoria

Luego del recurso humano, la información es el activo más valioso de cualquier organización. La adecuada gestión de su seguridad complementa los esfuerzos de la organización en alcanzar sus objetivos estratégicos asegurando la integridad, disponibilidad y confidencialidad de la información y los sistemas que la sustentan.

El reconocimiento y gestión oportuna de los riesgos a los que se ve expuesta la información permite minimizar el impacto de los mismos y reaccionar adecuadamente al momento de presentarse las circunstancias extraordinarias que afecten cualquiera de los elementos involucrados en el transporte, procesamiento o almacenamiento de la información.

Nuestros servicios de consultoría en seguridad de la información se centran en los problemas y oportunidades más importantes de nuestros clientes, y a través de ellos se establece su posición en la gestión de la seguridad de la información, planes de acción, mejoramiento en la gestión de la seguridad de la información, cumplimiento con normas locales e internacionales, alineación y auditorías de organizaciones de todo tipo y geografías. Hemos demostrado un efecto multiplicador en nuestro aporte a la seguridad de la información a través de la organización.

Nuestros consultores combinan conocimientos funcionales profundos con experiencia práctica de primera línea para ofrecer a nuestros clientes servicios de consultoría que impulsan impacto real y resultados tangibles. Certificaciones CISSP, CISA, CISM, ISO 27000, PCI-QSA, entre otras, y capacitación constante, distingue nuestra práctica de consultoría.

Es la creación de Planes de Seguridad de la Información eficientes que permitan mantener ambientes seguros para los sistemas informáticos y minimicen los factores de riesgo, acoplados a las necesidades del cliente.

Es la revisión y la evaluación de los controles, sistemas, procedimientos de informática; de los equipos de cómputo, su utilización, eficiencia y seguridad, de la organización que participan en el procesamiento de la información, a fin de que por medio del señalamiento de cursos alternativos se logre una utilización más eficiente y segura de la información que servirá para una adecuada toma de decisiones. Este servicio es brindado por Auditores CISA, CISM, CISSP.

Una vulnerabilidad representa una debilidad de seguridad en un sistema informático, es decir un punto de acceso al sistema por un agente ajeno a la misma.
La Evaluación de Vulnerabilidades busca encontrar dichas vulnerabilidades utilizando herramientas especializadas. La misma puede ser Interna o Externa. La Interna explora la red del cliente propiamente, mientras que la Externa explora la red desde un rango accesible fuera de la organización.
Los resultados son evaluados manualmente por un Analista que ratifica su veracidad y elimina así los falsos positivos.

Esta prueba identifica y trata de explotar las vulnerabilidades de la organización, evaluando los equipos de la misma manera en la que lo haría un atacante. Se realiza una evaluación de manera automatizada con herramientas diseñadas para escanear redes, en busca de puntos de entrada y configuraciones vulnerables. Posteriormente se utilizan herramientas para explotar las vulnerabilidades encontradas, con el objetivo de tomar control sobre los equipos a través de una de ellas y buscar escalar en la red del cliente tanto como sea posible.
Esta Prueba de Penetración puede ser Interna o Externa. La actividad Interna se realiza desde un punto interno de la red. La actividad Externa revisa puertos y la red institucional desde un punto externo, evaluando los equipos a los cuales se puede tener acceso remotamente.

Se realiza una prueba a fin de determinar el nivel de seguridad que posee una organización ante atacantes que tengan como principal objetivo el usuario final de los sistemas de utilicen métodos de engaño y manipulación para obtener información confidencial de la organización o ganar acceso a sitios que no se esta autorizando.

El objetivo de las pruebas, es determinar el nivel de seguridad que posee una organización ante ataques que tengan como principal blanco al usuario final de los sistemas de información y con esto, intentar ganar acceso a los mismos. Dentro del alcance de las pruebas está contemplada la recolección de información por cualquier medio que pueda fortalecer el conocimiento acerca del cliente y los usuarios que ésta posee para luego utilizar esta información en diferentes vectores de ataque.

Permite descubrir y evaluar las redes inalámbricas de la organización, permitiendo explorar si la cantidad de redes existentes coincide con lo establecido, así como la información percibida por sus nombres y los niveles de cifrado.

El PCI Security Standards Council es un foro mundial abierto, establecido en 2006, que se encarga de la formulación, gestión, educación y conocimiento de las Normas de seguridad de la industria de tarjetas de pago.

A QUIENES APLICA:

* La PCI DSS se aplica a todas las entidades que participan en el procesamiento de las tarjetas de pago, entre las que se incluyen comerciantes, procesadores, adquirentes, entidades emisoras y proveedores de servicios.

* Tambien aplica a las entidades que almacenan, procesan o transmiten datos del titular de la tarjeta y/o datos confidenciales de autenticación.

SISAP ha desarrollado una metodología para ayudar a sus clientes a alinear la seguridad de la información en sus procesos de tarjeta de pago con el cumplimiento del estándar PCI-DSS.

La metodología contempla 4 fases primordiales:

1. Definición de alcance: se identifican los procesos donde se involucran tarjetas de crédito y débito. En esta fase se capacita a los involucrados en el proceso.

2. Análisis de brechas GAP: basados en la situación actual, se evalúan los riesgos y el plan de acción para obtener los resultados esperados.

3. Acompañamiento: hacemos la revisión y análisis de documentación y evidencias, se ejecuta el plan de trabajo y se implementan las Políticas, Procesos y Procedimientos.

4. Auditoría: se proporciona el informe requerido sobre el cumplimiento relacionado con la norma.

Cada una de estas fases más la experiencia de nuestros QSA (Qualified Security Assessors) ayudan a las organizaciones no solo en el cumplimiento de cada uno de los 12 requisitos del estándar, si no a mantener un programa de mejora continua de seguridad de la información.

Los GFACE o Generadores de Facturas Electrónicas, son empresas autorizadas por la SAT para Generar Facturas Electrónicas o Registros Electrónicos de facturas, notas de crédito, notas de débito y otros documentos previamente impresos en papel (para sustituir las copias en papel). Los servicios asociados que ofrece SISAP son los siguientes:
1. Auditoría para emitir el Certificado de la Seguridad de la Información GFACE.
2. Certificación de Seguridad de la información para los GFACE según las normas establecidas por SAT.

Alinea las necesidades de negocio y seguridad de la empresa al medir su riesgo tecnológico.
Está basado en ISO/IEC 27001 y 27002.
Se ofrece la certificación de Analistas de Verizon del mismo.