headeritrisikomanagement

La gestión de riesgos informáticos

La gestión de riesgos informáticos se define como la gestión consciente de los riesgos corporativos y organizativos derivados de la utilización de medios informáticos

La rápida difusión y penetración de la informática en todos los ámbitos empresariales, así como en los procesos de negocio y de fabricación, ha dado lugar a numerosos beneficios, pero también a nuevas amenazas y riesgos corporativos. Hoy en día, las fronteras entre la informática corporativa, de oficina y de fabricación son apenas visibles.Por lo tanto, estas amenazas informáticas resultan aún más importantes para la gestión corporativa de riesgos. 


@-yet considera estas amenazas y los riesgos asociados en términos de

          Continuidad Empresarial          Seguridad Empresarial          Cumplimiento Empresarial


La oferta de productos resultante de @-yet está diseñada,   

  • para reconocer las vulnerabilidades, amenazas y riesgos
  • para minimizarlos a través de medidas concretas de naturaleza organizativa y técnica
  • para evitar situaciones críticas y
  • para investigar cualquier actividad delictiva (informática forense). 

@-yet combina la gestión de los diferentes peligros y riesgos en un Risk and Information Security Management System (ISMS)

Objetivos de @-yet

  • Alinear los procesos informáticos, la organización e infraestructura informática, y la informática de fabricación con las necesidades, oportunidades y riesgos del negocio
  • Proteger los datos y conocimientos técnicos.

Filosofía de @-yet

Crear transparencia a todos los niveles, gestionar la seguridad y contrarrestar las vulnerabilidades con medidas específicas

Las vulnerabilidades pueden transformarse en amenazas y, en última instancia, en riesgos corporativos. La evaluación de tales riesgos corporativos requiere:

  • Conocimiento de cómo los procesos de negocio y de fabricación dependen de la información utilizada, los datos y medios informáticos, así como los requerimientos que aquellos imponen sobre dichos medios
  • Conocimiento de la naturaleza, rol, formas y lugares de la información, datos y dependencias de la informática
  • Conocimiento de infraestructura críticas informáticas, vulnerabilidades y amenazas existentes en relación con la
                                     Continuidad
    , Seguridad Cumplimiento

  • Evaluación de la probabilidad de los diversos escenarios de riesgo que surgen de aspectos específicos de negocio y del diseño informático y de sistemas (tecnología, organización)
  • Conocimiento de los daños y las posibles consecuencias de dichos escenarios de riesgo.

Identificación de riesgos
@-yet adopta este enfoque de forma consistente y

 

  • captura, documenta y modeliza las tecnologías informáticas en una relación transparente con los procesos de negocio y de fabricación
  • utiliza los métodos de GAP Impact and Risk Analysis,  ampliamente probados y optimizados, para determinar la criticidad de los procesos de negocios y fabricación y las estructuras informáticas, así como lleva a cabo una evaluación de riesgos
  • ajusta dichos métodos a los requerimientos de cada empresa
  • considera las diversas amenazas de
    • origen organizativo (procesos horizontales de seguridad y procesos informáticos tales como el diseño, documentación, control de cambios, y operación)
    • origen técnico (arquitectura informática, soluciones informáticas) y
    • origen físico (edificios, infraestructura del centro de datos).

Gestión de riesgos y seguridad
Si bien los resultados de análisis de riesgos proporcionan a las empresas un plan de acción valioso y aplicable, esto sólo representa una visión estática de la situación. La seguridad sostenible sólo puede lograrse a través de la introducción de procesos de seguridad y su integración en los procesos de negocio y de gestión de servicios informáticos que interactúen con estos procesos a medida que se desarrollan.

  • @-yet asesora a empresas y diseña y despliega sistema de gestión de riesgos informáticos y de seguridad de datos adaptados a las necesidades de su negocio.
  • @-yet asegura que la perspectiva de la seguridad informática está integrada en todos los procesos informáticos y de negocio relevantes
  • @-yet ayuda a los responsables de la información y seguridad informática a comprender la situación de seguridad y organizar la misma en consecuencia
  • @-yet facilita el diseño y la optimización de procesos de gestión de servicios informáticos eficaces que permitan proteger su operación.

Continuidad empresarial

Seguridad contra fallos y emergencias

Elementos como los fallos informáticos (internos, proveedores), errores de planificación, sabotaje, ataques cibernéticos, pérdida de datos, fuerza mayor y otros situaciones conducen a fallos generalizados y ponen en peligro la empresa en situaciones de emergencia. Tenga en cuenta que una situación de emergencia de carácter no informático puede requerir soluciones informáticas particulares. 

El enfoque @-yet
Establecer una relación comercial basada en la transparencia, evaluar riesgos, garantizar la disponibilidad de la tecnología y la organización, y buscar protección frente a riesgos de emergencia. Consolidación de las soluciones técnicas, organización y procesos.

  • Introducción de gestión de requisitos
  • Introducción de SLA, disponibilidad informática, continuidad informática, procesos de cambio y su integración en el BCM corporativo, riesgo y procesos de SGSI
  • Análisis de Impacto Empresarial (BIA -Business Impact Analysis)
  • Pruebas de carga
  • Disponibilidad de soluciones técnicas y organizativas (aplicaciones, infraestructura, procesos de negocio)
  • Soluciones de copia de seguridad
  • Conceptos de preparación para emergencias
  • Manuales de emergencia
  • Soluciones técnicas para asegurar situaciones de emergencia.

Los resultados @-yet

  • Los fallos y emergencias informáticas permanecen dentro de un rango aceptable
  • La organización informática está técnica y organizativamente preparada para emergencias potenciales y se integra en la estrategia de continuidad del negocio.

Seguridad empresarial

Seguridad contra ataques intencionales (espionaje, sabotaje), modificación no autorizada, y pérdida de know-how

Hoy en día, las vastas y globalmente disponibles infraestructuras informáticas, servidores web, sitios web, comunicaciones Internet, dispositivos móviles y medios extraíbles de almacenamiento ofrecen nuevas superficies de ataque. Por otro lado, los riesgos relacionados con el espionaje industrial, sabotaje, adquisición de conocimientos, manipulación, falsificación, acceso no autorizado, etc. crecen de forma exponencial.


El enfoque @-yet

Identificar las vulnerabilidades y amenazas, evaluar riesgos. Alinear la estrategia de defensa y protección de la información corporativa con las particularidades organizativas y tecnológicas

  • Pruebas de penetración, ingeniería social, auditorías de código fuente, auditoría de los procesos web y de infraestructuras informáticas
  • Auditoría holística de la situación de la seguridad (requisitos y particularidades de negocio, procesos, organización)
  • Auditoría de la infraestructura del Centro de Datos (edificios, equipos CD)
  • Clasificación de datos e información
  • Políticas y guías
  • Conceptos de seguridad
  • Estrategias de sensibilización, conceptos de protección de conocimientos, integración de SGSI
  • Soluciones técnicas (cifrado / PKI, protección de dispositivos móviles, antivirus, identidad, permisos, "hardening" de aplicaciones y de infraestructura informática)
  • Diseño e implementación de procesos para el control y la gestión integral de la seguridad
  • Implementación y optimización de procesos informáticos.

Los resultados @-yet

  • Protección efectiva e integral de la empresa, procesos, información y know-how.

Cumplimiento empresarial

Cumplimiento de las leyes, contratos y reglamentos internos (políticas)

Existe un creciente número de disposiciones legales y reglamentarias que rigen la gestión de la información y determinan así el diseño informático. Por otra parte, los servicios informáticos se subcontratan a terceros con mayor frecuencia (outsourcing, nube). Como consecuencia de ello, la situación jurídica y los riesgos de responsabilidad civil, así como sus posibles efectos resultan complejos y difíciles de entender..

El enfoque @-yet
Reconocer las disposiciones legales aplicables, los riesgos y las consecuencias resultantes, así como las medidas de reducción de riesgo correspondientes. 

En estrecha colaboración con abogados especialistas y organismos de protección de datos:

  • Auditoría de cumplimiento legal 
  • Asesoramiento en temas legales y de privacidad
  • Auditoría de contratos
  • Políticas internas y regulaciones
  • Especificaciones para la organización informática y de operaciones
  • Soluciones técnicas (PKI, logs, correo, archivo)

Los resultados @-yet

  • Protección ante responsabilidad jurídica / contractual
  • Prácticas informáticas conformes a legalidad vigente

Informática forense (IT forensics)

Preservar pruebas, detectar actos delictivos y prevenir su reiteración

La Informática Forense tiene como objeto descubrir los incidentes criminales en el entorno empresarial y hacer frente a la investigación de incidentes sospechosos relacionados con los sistemas informáticos. En última instancia, se trata de identificar a los responsables y llenar el vacío de seguridad. 

A tal fin, @-yet contacta con las autoridades públicas que se consideren pertinentes a efectos informativos y de enjuiciamiento. 

Asistencia de @-yet en el análisis y preservación de las pruebas:

  • Definición de procedimientos específicos en caso de supuesta actividad criminal, si es necesario - en estrecha colaboración con las autoridades
  • Preservación integral y jurisdiccional de pruebas
  • Análisis de pruebas y evaluación
  • Preparación y documentación de los escenarios de ataque.

 

end faq

© 2013 @-yet GmbH. All rights reserved.