Servicios Profesionales de Consultoría

Servicios ProfesionalesPara cubrir en todo momento las cuatro grandes áreas de seguridad de nuestros clientes –confidencialidad de la información, confiabilidad de sus datos, continuidad operativa y cumplimiento de leyes y regulaciones– en Mexis contamos con un importante aliado: nuestro partner Telesma, empresa de consultoría especializada en servicios de seguridad de la información establecida en las ciudades de México y Buenos Aires.

Telesma es socia de Talisman International llc., localizada en Washington DC, una consultora con amplia experiencia en los sectores: Finanzas, Manufactura, Servicios Públicos, Gobierno, Telecomunicaciones y Petróleo.

Gracias a esta colaboración, además de los Servicios Administrados, Mexis ofrece otros servicios profesionales de Consultoría.

  • Diagnóstico de Seguridad
  • Análisis de Riesgos
  • GAP Análisis
  • Hacking Ético
  • Plan Maestro de Seguridad
  • Desarrollo de Normativa
  • Plan de Continuidad de Negocio (BCP)
  • Consultoría de IDM (Administración de Identidades)
  • Programas de Sensibilidad

    •  

    Diagnóstico de Seguridad

    ¿Por qué?

    • ¿Cuáles son las vulnerabilidades existentes en los activos de información de la organización?
    • ¿Cómo pueden estas vulnerabilidades comprometer a los activos de información con respecto a la confidencialidad, confiabilidad y continuidad operativa?
    • ¿Las vulnerabilidades detectadas pueden ocasionar daños a la imagen de la organización? ¿Un atacante externo puede aprovechar las vulnerabilidades presentes en la organización?
    • ¿Cuáles son los controles de seguridad definidos e implantados hasta el momento?
    • ¿Cuál es la efectividad de los controles definidos?

    Objetivo

    Identificar las brechas de seguridad existentes en una organización, y desarrollar las recomendaciones necesarias para contar con un nivel adecuado en seguridad de la información.
    • Identificar el diferencial de la organización con respecto a controles, políticas y procesos de seguridad de las mejores prácticas y estándares.
    • Evaluar los controles de seguridad existentes en la infraestructura de TI.
    • Revisar la organización de seguridad, sus roles, sus responsabilidades y estructura.
    • Elaborar Plan de Remediación para reducir la exposición a los riesgos de seguridad.

    Beneficios
    • Conocer detalladamente las vulnerabilidades existentes en la infraestructura de TI, categorizadas por su severidad.
    • Disponer de información confiable para la toma de decisiones en cuanto a inversión de recursos en seguridad de la información.
    • Contar con las bases de un plan, diseñado para alinear los controles de Seguridad de la Información con las prioridades, estrategias y objetivos del negocio.
    • Contar con las recomendaciones necesarias para corregir las vulnerabilidades encontradas mitigando el impacto ante la ocurrencia de eventos.

    Análisis de Riesgos

    ¿Por qué?

    Los activos de información en las organizaciones están sujetos a altos niveles de riesgo, desde la posibilidad de acceso a información confidencial por parte de personas no autorizadas, pasando por el desprestigio de su imagen hasta llegar a la paralización de las operaciones.
    • ¿Cómo saber cuáles son las amenazas y riesgos contra los que debemos protegernos?
    • ¿Cómo detectar cuáles vías pueden utilizar terceros para perjudicarnos?
    • ¿Es posible que seamos atacados desde el exterior o del interior de la organización?
    • ¿Funcionan nuestros planes de contingencia adecuadamente?

    Objetivo

    Determinar el nivel de seguridad de una organización identificando las amenazas y vulnerabilidades a la que están expuestos sus activos de información, valorando su impacto y la probabilidad de que ocurran.
    • Conocer el nivel de seguridad de la organización y las amenazas que enfrenta.
    • Identificar los principales activos de información y sistemas críticos.
    • Identificar las amenazas, vulnerabilidades y riesgos presentes en la organización.
    • Establecer la estrategia de protección.
    • Desarrollar los planes de mitigación de riesgos.

    Beneficios
    • Determinar el nivel de seguridad deseado.
    • Contar con las bases de un plan, diseñado para alinear los controles de seguridad de la información con las prioridades, estrategia y objetivos del negocio.
    • Identificar, evaluar y administrar los riesgos de seguridad.
    • Establecer las bases de una cultura preventiva de protección.
    • Enfocar recursos y esfuerzos en la protección de los activos de información críticos.
    • Cumplir con leyes y regulaciones.

    GAP Análisis

    ¿Por qué?
    • ¿Sabe usted qué tan desfasada está su organización con respecto a las mejores practicas y/o estándares actualmente exigidos a las empresas?
    • ¿Está cumpliendo con las regulaciones y leyes vigentes que aplican a su empresa?
    • ¿Cómo proteger a la empresa de sanciones y multas por incumplimiento de leyes y regulaciones?
    • ¿Los procesos de gestión en tecnología de la información se corresponden con las mejores prácticas internacionales?
    • ¿Está interesada su organización en lograr una certificación en seguridad de la información?

    Objetivo

    Conocer el diferencial en el desempeño de una organización con respecto a las mejores prácticas, estándares y regulaciones legales, evaluar la desviación y establecer los planes para dirigir la organización hacia el cumplimiento de las mismas. El análisis responde a dos interrogantes:
    • ¿En dónde estamos?
    • ¿En dónde deberíamos estar?
    En otras palabras, un GAP Analysis compara lo que existe actualmente en una organización contra lo que es requerido en seguridad de la información. Los requerimientos se derivan de los estándares, leyes y regulaciones que gobiernan una empresa o industria en particular.

    Leyes y regulaciones
    SOX - Sarbanes Oxley
    BASEL II - Administración de Riesgos Financieros
    HIPAA - Privacidad de la Información
    CNBV - Comisión Nacional Bancaria y de Valores
    CNSF - Comisión Nacional de Seguros y Fianzas
    CONSAR - Comisión Nacional del Sistema de Ahorro para el Retiro
    BANXICO - Banco de México

    Estándares y mejores prácticas
    COSO - Control Interno / Estimación de Riesgos
    COBIT - Objetivos de Control para la Información y Tecnologías
    ITIL - Modelo de Procesos de Control y Gestión de TI
    ISO-IEC 17799 - Estándar de Seguridad de la Información
    PCI - Industria de Pago Electrónico

    Beneficios
    • Señalar los fundamentos para establecer la estrategia y cerrar la brecha de seguridad (Security GAP) existente
    • Cumplir con los estándares, leyes y regulaciones exigidos
    • Proteger los activos de información
    • Mejorar los procesos de gestión de tecnología de información

    Hacking Ético

    ¿Por qué?

    La mejor manera de saber si su red está segura es estar al tanto de sus vulnerabilidades.
    • ¿Qué información sensible de su organización y de sus negocios está visible desde Internet?
    • ¿Hay información expuesta en sus equipos de red que podrían hacerlo vulnerable a un ataque?
    • ¿Hay accesos no autorizados por parte de personal interno o de intrusos desde Internet?
    • ¿La arquitectura y configuración actual de su red lo hace vulnerable?

    Objetivo

    Conocer las brechas de seguridad existentes en la infraestructura de TI antes de que sean descubiertas y utilizadas por personal malintencionado y pongan en riesgo la información, procesos y servicios de la organización.
    • Identificar la información de la organización que está visible desde Internet.
    • Identificar y documentar los servicios de red expuestos de forma interna y externa, así como los riesgos asociados.
    • Probar los mecanismos de seguridad que protegen la infraestructura de TI de la organización.
    • Recomendar acciones para la eliminación de las brechas de seguridad.

    Beneficios
    • Conocer las brechas de seguridad actuales, tanto del perímetro como en la red interna.
    • Recibir recomendaciones de acción inmediata con un alto nivel de detalle para corregir las brechas de alto riesgo.
    • Recibir recomendaciones estratégicas orientadas a la arquitectura de la red.
    • Evaluar la efectividad de los controles de seguridad existentes en la organización.
    • Cumplir las regulaciones y leyes al ejecutar periódicamente este servicio.
    • Realizar acciones preventivas sobre las brechas de seguridad antes de que sean descubiertas y utilizadas por intrusos.

    Plan Maestro de Seguridad

    ¿Por qué?

    • ¿Están alineadas las soluciones de seguridad implantadas con los planes estratégicos de la organización?
    • ¿Se están atendiendo las necesidades de seguridad de la empresa?
    • ¿La organización de seguridad está recibiendo apoyo de la alta gerencia?
    • ¿Se cuenta con la normativa adecuada para implementar las soluciones y herramientas de seguridad requeridas?
    • ¿Los esfuerzos de seguridad están alineados con las regulaciones y leyes?

    Objetivo

    La preparación de un Plan Maestro de Seguridad de la Información permite el establecimiento de objetivos estratégicos, la planificación de las fases y etapas requeridas, los recursos necesarios para su consecución, así como la definición de los mecanismos de control y seguimiento.


    Beneficios

    Contar con una guía que permita la incorporación de la seguridad de la información en la organización considerando, entre otros, los siguientes aspectos:
    • Organización de la seguridad de la información.
    • Políticas, estándares y procedimientos de seguridad.
    • Metodología de evaluación y tratamiento del riesgo.
    • Planes de contingencia y continuidad operativa.
    • Planes de sensibilización y formación en seguridad de la información.
    • Manejo de incidentes de seguridad.
    • Monitoreo y cumplimiento de la normativa de seguridad.

    Desarrollo de Normativa

    ¿Por qué?

    • ¿Sabemos lo que debemos hacer para proteger la información?
    • ¿Cuál es la posición de la organización con respecto a la seguridad de la información?
    • ¿Qué es lo aceptable o inaceptable en el uso de recursos de tecnología por parte del personal?
    • ¿Cuál es la responsabilidad del personal con respecto al uso de la información de la organización?
    Según estudios llevados a cabo por el Computer Security Institute, el mayor porcentaje de incidentes de seguridad (75%) en toda organización son generados por el elemento humano, esto es debido mayormente a que no existe normatividad en cuanto al manejo de la información.


    Objetivo

    Crear el marco normativo de seguridad de la información a través del desarrollo, documentación e implantación de políticas, estándares y procedimientos de seguridad que permitan lograr un alto nivel de confidencialidad, confiabilidad (integridad) y disponibilidad de la información, así como también del cumplimiento normativo.

    El marco normativo son las bases de cualquier programa de seguridad y permite la toma de decisiones en relación con:
    • Estructura y gestión de la seguridad.
    • Auditabilidad.
    • Control de acceso.
    • Manipulación de la información.
    • Uso aceptable de recursos.
    • Planificación ante desastres.
    • Manejo de incidentes.
    • Protección perimetral.
    • Capacitación y sensibilización del personal en seguridad.

    Beneficios
    • Contar con los objetivos estratégicos y la postura organizacional en seguridad de la información.
    • Disponer de un marco de referencia para medir el progreso y el nivel de seguridad en la organización.
    • Contar con las bases para justificar una mejora continua de la seguridad de la información.
    • Alinear los esfuerzos en seguridad de la información con los requerimientos del negocio.

    Plan de Continuidad de Negocios

    ¿Por qué?

    ¡Todas las organizaciones son vulnerables! El 90% de las empresas que han sufrido desastres sin tener un plan de contingencia han dejado de operar en el corto plazo. Por eso debe preguntarse: en caso de desastre, ¿sobrevivirá su empresa?

    La continuidad de las operaciones no se garantiza solamente si se dispone de un centro de cómputo alterno; adicionalmente, se requiere de procedimientos especiales de trabajo, roles y responsabilidades bien definidos, así como de personal disponible y capacitado.

    ¿Cuándo fue la última vez que probó su Plan de Contingencia? ¿Funcionó correctamente?


    Objetivo

    La mejor inversión para su negocio es administrar los riesgos, la peor es ignorarlos.

    Muchos de los desastres, sean por causas naturales o humanas, o bien debido a problemas de instalaciones o fallas de equipo, impactan fuertemente a las empresas, provocando pérdida de clientes, deterioro en la imagen, reducción de participación en el mercado, desventaja competitiva y sanciones, entre otros.

    El servicio de Planeación para la Continuidad del Negocio (BCP) de Telesma tiene el objetivo de desarrollar acciones de prevención y estrategias de recuperación que permitan minimizar el impacto de un desastre y recuperarse de la manera más eficiente y efectiva para asegurar la continuidad de las operaciones.


    Beneficios
    • Garantizar la continuidad de la operación durante una contingencia mayor.
    • Reducir el nivel de riesgo mediante el uso de una metodología probada.
    • Generar y fortalecer la concienciación en materia de prevención de riesgos.
    • Minimizar costos y pérdidas en caso de desastres.
    • Prevenir pérdida y daños.
    • Cubrir los requisitos de Organismos Reguladores (CNBV, CNSF, CONSAR, BANXICO).

    Consultoría de IDM

    ¿Por qué?

    • ¿Los perfiles de acceso asignados a los usuarios para el acceso a las aplicaciones se corresponden con las responsabilidades del cargo que desempeñan?
    • ¿Cuenta con políticas y procedimientos de seguridad bien definidos para la implementación de una solución de IDM?
    • ¿A pesar de contar con una solución de IDM, sigue dispersa la administración de identidades en su organización?
    • ¿Los permisos de acceso y perfiles son autorizados por el personal de TI en lugar de los propietarios de la información?
    • ¿Los empleados y asociados siguen manejando diferentes identificadores de usuario para ingresar a sus aplicaciones?

    Objetivo

    Brindar el conjunto de políticas, estándares y procesos a la organización para que la implementación de una solución de IDM sea exitosa.

    El acceso a los recursos críticos de la empresa estará basado en la definición de roles y perfiles acordes con las reglas de negocio, lo que permitirá:
    • Definir políticas de control de acceso y propietarios de los procesos involucrados.
    • Determinar las reglas para la autorización o remoción de roles y privilegios de acceso.
    • Identificar los procesos y recursos que los soportan.

    Beneficios
    • Optimizar la inversión haciendo un uso efectivo del sistema IDM.
    • Minimizar los riesgos de acceso no autorizados a información privilegiada y crítica de la empresa.
    • Eliminar los privilegios ante cambio de responsabilidades o baja de empleados.
    • Disponer de un control de acceso a los sistemas basado en roles.
    • Contar con evidencias para efectos de auditoría en el ciclo de vida de cada usuario en la organización.
    • Reducir los costos de la organización al automatizar el proceso de aprovisionamiento.
    • Cumplir con las leyes, regulaciones y normativas internas con la integración de políticas de seguridad.

     

    Programas de Sensibilización

    El objetivo primordial de los programas de sensibilización es crear una cultura de seguridad de la información donde cada individuo logre internalizar, en su comportamiento y manipulación de la información, los elementos y controles de seguridad que permitan cumplir con los requerimientos de confidencialidad, confiabilidad (integridad), continuidad y cumplimiento establecidos en las normativas de la organización.

    Los programas de sensibilización en seguridad de la información de Telesma son diseñados para educar a los usuarios en las mejores prácticas y normativas de seguridad de la información, destacando su importancia y cómo protegen los negocios, los empleados y los clientes.


    Objetivo

    • Dar a conocer la normativa de seguridad y las mejores prácticas en seguridad de la información
    • Dar a conocer las responsabilidades de los usuarios en seguridad de la información
    • Mostrar las consecuencias de un incidente de seguridad para la organización
    • Mostrar cómo actuar ante incidentes de seguridad
    • Mostrar cómo identificar y responder a tácticas de ingeniería social
    • Dar a conocer las sanciones en caso de incumplimiento

    Beneficios

    • Lograr un cumplimiento efectivo de los objetivos y normativas de seguridad de la información
    • Minimizar los riesgos y pérdidas por la exposición no autorizada de la información de clientes y negocios
    • Involucrar a la organización en los objetivos de seguridad de la información
    • Mejorar la imagen de la organización
    • Lograr una actitud preventiva ante la protección de la información
    MEXIS 2009