El Análisis y gestión del riesgo tecnológico consiste en identificar el nivel de seguridad que requiere la organización en materia de Información, aportando elementos claros para la Alta Dirección, para aprobar iniciativas, recursos y presupuestos enfocados a alcanzar los niveles aceptables de riesgo para la organización.
Características
1
•Análisis de vulnerabilidades tecnológicas.
•Uso de marcos de referencia estándar que permita generar resultados repetibles. (ISO/IEC 27001:2005, CVE, NIST).
•Permite identificar los riesgos de TI y su impacto financiero, operativo, legal y de reputación hacia los procesos críticos de la organización.
•Identificación de vulnerabilidades tanto tecnológicas como humanas y relacionadas con los procesos y procedimientos de gestión de las TI.
•Contempla las amenazas a las que está expuesta la orgnanización incluyendo no solo amenazas tecnológicas como virus e intrusiones lógicas, si no tambien amenazas naturales (inundaciones, incendios, tormentas, temblores, etc.), amenazas industriales (ubicaciones y elementos de riesgo dentro del perímetro, explosiones, etc.), humanas (errores de usarios, divulgación de información intencional o por indiscreción, eliminación de información, etc.) y amenazas asociadas a incumplimiento de leyes y regulaciones (retención de información, divulgación de información personal y bancaria, sanciones o clausura por incumplimiento, etc.).
•Comparación del nivel de seguridad con respecto al código de prácticas de seguridad ISO/IEC 27002, que permita conocer el nivel de seguridad de la organización.
•Identificación de los niveles de riesgo para cada elemento de TI así como para cada servicio de TI y proceso de la organización; asociando las amenazas, vulnerabilidades e impactos específicos para cada elemento.
•Toma de decisiones para el tratamiento de los riesgos y definición del plan para alcanzar los niveles de riesgo aceptables.
•Definición de los mecanismos de gestión para el seguimiento del plan de tratamiento de riesgos y auditoría sobre el proceso de análisis y gestión de riesgos.
•Uso de marcos de referencia estándar que permita generar resultados repetibles. (ISO/IEC 27001:2005, CVE, NIST).
•Permite identificar los riesgos de TI y su impacto financiero, operativo, legal y de reputación hacia los procesos críticos de la organización.
•Identificación de vulnerabilidades tanto tecnológicas como humanas y relacionadas con los procesos y procedimientos de gestión de las TI.
•Contempla las amenazas a las que está expuesta la orgnanización incluyendo no solo amenazas tecnológicas como virus e intrusiones lógicas, si no tambien amenazas naturales (inundaciones, incendios, tormentas, temblores, etc.), amenazas industriales (ubicaciones y elementos de riesgo dentro del perímetro, explosiones, etc.), humanas (errores de usarios, divulgación de información intencional o por indiscreción, eliminación de información, etc.) y amenazas asociadas a incumplimiento de leyes y regulaciones (retención de información, divulgación de información personal y bancaria, sanciones o clausura por incumplimiento, etc.).
•Comparación del nivel de seguridad con respecto al código de prácticas de seguridad ISO/IEC 27002, que permita conocer el nivel de seguridad de la organización.
•Identificación de los niveles de riesgo para cada elemento de TI así como para cada servicio de TI y proceso de la organización; asociando las amenazas, vulnerabilidades e impactos específicos para cada elemento.
•Toma de decisiones para el tratamiento de los riesgos y definición del plan para alcanzar los niveles de riesgo aceptables.
•Definición de los mecanismos de gestión para el seguimiento del plan de tratamiento de riesgos y auditoría sobre el proceso de análisis y gestión de riesgos.
Modalidades del servicio
2
•Análisis de vulnerabilidades tecnológicas.
•Pruebas de penetración externas.
•Auditoría de seguidad de TI
•Pruebas de penetración externas.
•Auditoría de seguidad de TI
Beneficios
3
•Identificar de forma clara y precisa los riesgos de TI y su impacto hacia los procesos de la organización, ante incidentes de seguridad.
•Atención inmediata de las brechas de seguridad de alto riesgo y fácil implementación; además capacidad para planear a corto, mediano y largo plazo la estrategía de aseguramiento de la información.
•Inversiones inteligentes en materia de seguridad, enfocadas sólo a aquellos riesgos que representan un verdadero peligro para la organización.
•Disminución del riesgo y aumento de la confianza ante clientes, proveedores y socios de negocio.
•Mayor nivel de servicio para los clientes.
•Administración y monitoreo continuo de los niveles de riesgo.
•Identificación oportuna de nuevos riesgos ante cambios en procesos e infraestructura de TI.
•Atención inmediata de las brechas de seguridad de alto riesgo y fácil implementación; además capacidad para planear a corto, mediano y largo plazo la estrategía de aseguramiento de la información.
•Inversiones inteligentes en materia de seguridad, enfocadas sólo a aquellos riesgos que representan un verdadero peligro para la organización.
•Disminución del riesgo y aumento de la confianza ante clientes, proveedores y socios de negocio.
•Mayor nivel de servicio para los clientes.
•Administración y monitoreo continuo de los niveles de riesgo.
•Identificación oportuna de nuevos riesgos ante cambios en procesos e infraestructura de TI.
