Sistema de gestión de la seguridad de la información y ciberseguridad

Objetivo:

Desarrollar un sistema de gestión de seguridad de la información en la empresa que lo solicite, para definir las condiciones a considerar para ser implementado en la empresa.

Justificación:

Basados en las NRP 23, 24 y 32 del Banco Central de Reserva, para fortalecer la empresa, en Seguridad de la Información, continuidad del negocio y ciberseguridad. Tomando en cuenta esas normas ofrecemos la presente propuesta técnica.

Oferta técnica

Para desarrollar esta consultoría vamos a proceder con el siguiente proceso:

A. Fundamentación.

1. Compromiso de la Dirección: Consiste en obtener el compromiso y el apoyo de la alta dirección para la implementación del SGSI, para asegurar la asignación de recursos necesarios y la priorización de la seguridad de la información, sin este compromiso no se puede continuar con la consultoría, la alta dirección no se involucrará en el proceso, aquí se pide el compromiso, porque la presente consultoría se tendrá acceso a los recursos de tecnología disponibles. 2. Definición del Alcance: Establecer el alcance del SGSI, identificando los activos de información, procesos, sistemas, ubicaciones y partes interesadas involucradas en el sistema. En el caso de no disponer de procesos, colaboraremos en elaborarlos. 3. Evaluación de Riesgos: Para lograrlo primero se identificarán todas las vulnerabilidades que permitan establecer los riesgos y luego determinar métodos de control y buscar alternativas de su mitigación. En este paso, desarrollaremos una evaluación de riesgos para identificar y evaluar las amenazas, vulnerabilidades y riesgos asociados con los activos de información. Al disponer de la información se podrá priorizar las acciones de seguridad. Para poder descubrir los riesgos, se desarrollará el proceso de etical hacking, utilizando herramientas digitales para lograrlo. De acuerdo al siguiente proceso:
  • Análisis de vulnerabilidad.
  • Análisis de aplicaciones web.
  • Evaluación de bases de datos.
  • Ataques de password
  • Ataque de acceso wifi
  • Ingeniería inversa
  • Explotación
  • Ingeniería social.
 

B. Desarrollo de productos

  1. Elaboración del documento del SGSI, establecimiento de Políticas y Procedimientos: Se revisarán las políticas, procedimientos y directrices de seguridad de la información, para ajustarlas o actualizarlas, donde se establezcan el marco, los objetivos y las responsabilidades del SGSI.
  2. Se revisarán, actualizarán y seleccionaran los Controles de Seguridad: En la actualidad se dispone de controles de seguridad, que se necesitan validar su impacto, para actualizarlo, si se determina que falta algún control se elaborarán los que sean necesarios, luego se seleccionará e implementaran los controles de seguridad adecuados basados en los resultados de la evaluación de riesgos y las necesidades específicas de la empresa contratante.
  3. Desarrollo de la sistematización del sistema: Desarrollo de sistema en Oracle, para generar el control y sistematización del sistema en la empresa.
  4. Formación y Concienciación: Capacitar al personal de la empresa sobre las políticas, procedimientos y prácticas de seguridad de la información mediante programas, por medio de la promulgación a jefes y Gerentes sobre los resultados del sistema, logrando la concientización de todos los que trabajan en la empresa.
  5. Implementación de Controles: Implementar los controles de seguridad seleccionados en toda la organización, incluyendo controles técnicos, físicos y organizativos.
 

C. Posterior a la consultoría

  1. Gestión de Incidentes: Establecer un proceso de gestión de incidentes para detectar, reportar, investigar y responder a incidentes de seguridad de la información de manera efectiva.
  2. Monitorización y Revisión: Implementar herramientas y procesos de monitorización para supervisar continuamente el SGSI, evaluar su efectividad y detectar cualquier desviación o incidente de seguridad.
  3. Auditoría y Revisión: Realizar auditorías internas y revisiones periódicas del SGSI para evaluar el cumplimiento de las políticas, procedimientos y controles establecidos, así como para identificar áreas de mejora.
  4. Mejora Continua: Basándose en los resultados de las auditorías, revisiones y feedback recibido, establecer un proceso de mejora continua para optimizar constantemente el SGSI y adaptarse a los cambios en el entorno de riesgo.
  5. Conformidad Legal y Regulatoria: Asegurarse de que el SGSI cumpla con todas las leyes, regulaciones y estándares aplicables, y mantenerse actualizado sobre los requisitos legales y regulatorios relevantes.
  6. Comunicación y Participación: Fomentar la comunicación y la participación activa de todas las partes interesadas, incluyendo empleados, directivos, clientes, proveedores y socios, para crear una cultura de seguridad de la información en toda la organización.

E.Productos generados

La presente consultoría tendrá los siguientes productos:
  • Sistema de Gestión de Seguridad de la Información con todos los elementos definidos en NRP 23, 24 y 32 del Banco Central de Reserva de El Salvador y la norma ISO 27001.
  • Plan de implementación y seguimiento del sistema.
  • Descripción del alcance de los elementos a considerar en la sistematización del SGSI. (No se incluyen sistemas, para elaborarlos se definirá en otra oferta)

F. Duración de la consultoría

Depende del tamaño de la empresa, se define la duración en común acuerdo con la empresa contratante. para una empresa que no dispone de sucursales, el período de la consultoría es de un mes para las primeras tres etapas y después de un mes se desarrollará el seguimiento en una semana.