Auditoría de SI basada en riesgos y el concepto de sucesos inaceptables
Consideración de las especificidades de la empresa
Especialistas certificados
Apoyo posterior a la auditoría
Minimizar los riesgos de la SI
Un enfoque de la SI basado en el riesgo es una forma de garantizar la SI que se
basa en el análisis de riesgos y su
priorización.
La atención se centra en identificar y comprender las amenazas y riesgos potenciales, y en aplicar las medidas de seguridad adecuadas para gestionarlos. Este planteamiento requiere una supervisión y adaptación continuas a las condiciones y amenazas cambiantes.
En el transcurso de la auditoría, elaboramos una lista consolidada de los riesgos de seguridad de la información de la empresa y desarrollamos una metodología para gestionarlos.
A partir de la cual el Cliente puede decidir qué hacer con el riesgo en el futuro: minimizarlo, aceptarlo o transferir la responsabilidad del riesgo a un tercero.
También recopilamos una lista consolidada de eventos de SI inaceptables para la empresa
Y elaboramos recomendaciones para minimizar la probabilidad de que se produzcan sucesos de SI inaceptables en la empresa del cliente.
Un suceso de seguridad de la información inaceptable es un suceso o acción que infringe las políticas, procedimientos, normas o reglamentos de seguridad de la información.
Ejemplos de este tipo de sucesos pueden ser accesos no autorizados, phishing de malware, sitios web falsos, etc.
El coste de protección del Bien no superará el coste del daño potencial que podría causar su pérdida o puesta en peligro.
El principio al que se adhieren los Auditores de Seguridad de ITGLOBAL.COM durante la prestación del servicio
Por qué identificar los riesgos y elaborar una lista de sucesos de SI inaceptables
Ahorro presupuestario en SI
Ayuda a asignar correctamente el presupuesto de SI, eliminando primero las infracciones con un alto nivel de criticidad.
Reparto de responsabilidades entre los departamentos de TI y SI
Aumentar la eficacia y reducir el tiempo dedicado a las tareas
Minimizar los riesgos de la SI
Al disponer de información sobre los posibles riesgos y su grado de criticidad para la empresa, puede prepararse con antelación para posibles situaciones negativas
Reducir la probabilidad de incidentes relacionados con las especies invasoras
La aplicación de las recomendaciones le ayudará a mejorar el nivel de protección de la información confidencial en la empresa.
Nuestros clientes
Auditoría de SI basada en riesgos y el concepto de sucesos inaceptables.
Pedir un servicio
En el transcurso de la prestación del servicio, el Auditor recoge
información sobre los componentes incluidos en las siguientes
áreas de investigación
Infraestructura de red e inalámbrica
Servicios de infraestructura (OS, SRC, etc.)
Servicios de aplicaciones (DBMS, ERP, etc.)
Protección de la información confidencial
Gestión del acceso a los componentes de la infraestructura informática
Control de seguridad (DLP, protección contra malware, etc.)
Organización de la tolerancia a fallos de los componentes de las infraestructuras de la información
Desarrollo de software seguro
El resultado de la auditoría de los procesos de
seguridad de la información basada en el riesgo y en el concepto de
eventos inaceptables es un Informe, que
consta de
Resumen
Descripción general de los resultados de la auditoría sin utilizar terminología especializada, pero con una evaluación de la criticidad de las violaciones identificadas en los procesos de seguridad de la información.
Informe detallado
Descripción del estado actual de los procesos de SI de las infracciones detectadas. Proporciona información detallada sobre la eliminación de las infracciones detectadas.
Ámbitos de responsabilidad
Esta sección proporciona información sobre la división de responsabilidades entre los especialistas en TI y SI
Qué hacer con el informe
Analizar los resultados
Revise detenidamente el Informe para analizar las infracciones detectadas, las posibles consecuencias y las recomendaciones para subsanarlas.
Desarrollar un plan de acción
Crear un plan de acción para abordar las deficiencias detectadas en los procesos de SI. Establezca plazos y responsables para garantizar que cada problema se aborda adecuadamente.
Gestionar los riesgos
Tomar medidas para gestionar los riesgos y aplicar métodos de protección contra sucesos de SI inaceptables de acuerdo con el plan de acción desarrollado.
Formar al personal
Impartir formación a los empleados para concienciarlos sobre los riesgos y las mejores prácticas de seguridad.
Cómo se realiza una auditoría
| 01 |
Armonización de la interacción |
Formar equipos en ambas partes, acordar un plan de trabajo y plazos para la ejecución del proyecto.
|
| 02 |
Realización de entrevistas |
Realizamos entrevistas con los responsables de los procesos empresariales, el personal de TI y SI y los usuarios de los sistemas de información.
|
| 03 |
Análisis de la información recibida |
Identificar los problemas de seguridad de la información, elaborar una lista consolidada de riesgos de seguridad de la información y sucesos inaceptables.
|
| 04 |
Elaboración de un informe con recomendaciones |
Describir el estado actual de la seguridad de la información en la empresa, elaborar una lista de medidas para evitar que se produzcan sucesos de SI inaceptables.
|
| 05 |
Evaluación de riesgos de la SI |
Formular una lista de activos con una evaluación de su criticidad para la empresa, elaborar un mapa de calor y desarrollar una metodología para gestionar los riesgos de la SI.
|
Nuestros clientes