Es una empresa Salvadoreña líder en soluciones tecnológicas, especializada en la innovación y desarrollo de herramientas digitales para mejorar la eficiencia y competitividad de nuestros clientes. Con una trayectoria de 15 años consolidada en el mercado local, ofreciendo productos y servicios adaptados a las necesidades del mundo moderno.
Brindar soluciones innovadoras en ciberseguridad para proteger la información y los sistemas digitales de nuestros clientes, garantizando la seguridad, confidencialidad e integridad de sus datos mediante tecnología de vanguardia y un equipo altamente capacitado.
Visión
Ser la empresa líder en ciberseguridad en América Latina, reconocida por su excelencia, innovación y compromiso en la protección del ecosistema digital, contribuyendo a un mundo más seguro y confiable en la era tecnológica.
Departamento de Ciberseguridad
El Departamento de Ciberseguridad de TECNOSUR se dedica a la protección de los activos digitales y la información crítica de la Entidad.
Nuestro equipo de expertos en seguridad trabaja con tecnologías de última generación para prevenir, detectar y responder a amenazas cibernéticas de manera efectiva.
Visión
Reducir al mínimo los riesgos informáticos que se presenten en la entidad, con el fin de garantizar el resguardo de los activos digitales y físicos, ante las amenazas internas como externas, garantizando así un entorno digital seguro para la entidad y sus colaboradores.
Misión
Proteger los activos digitales que se generan a través en los diferentes medios productivos de la entidad mediante estrategias avanzadas de ciberseguridad, monitoreo continuo, detección de amenazas y respuesta inmediata, asegurando la integridad, confidencialidad y disponibilidad de la información.
Objetivos Estratégicos
Evaluar el cumplimiento de las políticas y procedimientos definidos por la alta administración en cuanto a la seguridad de los activos informáticos.�
Gestionar adecuadamente los recursos que la entidad pone a disposición del departamento para la seguridad de la información.�
Brindar apoyo a todas las áreas en temas relacionados con el resguardo y administración de los activos informáticos.�
Desarrollar programas de formación para todo el personal con el objetivo de aumentar la conciencia sobre las mejores prácticas de seguridad.
Evaluación del Sistema de Gestión de Seguridad de la Información basado en ISO 27001 - 2022
Objetivo General
Realizar un diagnóstico integral de seguridad en la organización, con el fin de identificar riesgos, vulnerabilidades y deficiencias en los sistemas de protección actuales, y proporcionar recomendaciones estratégicas para mejorar la seguridad física, informática y operativa, asegurando la protección de los activos, información y personal de la empresa
Objetivos Específicos
1. Evaluar la situación actual del Sistema de Gestión de Seguridad de la Información de la entidad, utilizando como referencia el anexo A de la ISO 27001 - 2022 a través de la creación y desarrollo de una batería de preguntas.
2. Medir el nivel de maduración de la seguridad de la información en la entidad por medio de la herramienta CMMI (Capability Maturity Model Integration) creado por el Instituto de Ingeniería de Software (SEI por sus siglas en inglés)
3. Presentar de forma preliminar el Plan Director de la Seguridad utilizando los datos obtenidos en las fases previas, y para que sea aprobado la continuidad de este por la Alta Administración
Evaluación del SGSI a través de la ISO/ACE 27001 - 2022.
Como parte inicial se evaluó el Sistema de Gestión de Seguridad de la Información (SGSI) que la entidad posee, para ello se utilizó los grupos de controles que define la ISO 27001 - 2022, los cuales están segmentados en 4 tipos, los cuales son los siguientes:
- Controles Organizacionales
- Controles relativos a las personas
- Controles Físicos
- Controles Tecnológicos
Valoración de controles según encuesta
Para la medición del SGSI se formularon 129 preguntas para los 93 controles que presenta el Anexo A de la ISO/IEC 27001-2022 dando a cada pregunta pudiera ser contestada con una valoración de 1 a 5 según se detalla a continuación:
Valoración de controles según encuesta.Siendo así que teniendo un total de 93 controles posibles y una valorización de 1 a 5 se tiene que el nivel óptimo que puede tener la entidad es de 465 puntos y el nivel más crítico sería 93 puntos, una vez realizado la encuesta a la Alta Administración con las preguntas determinadas obtuvimos una puntuación de 272 puntos como sumatoria de los diferentes tipos de grupos de control como se puede visualizar en la siguiente tabla.
Controles Organizacionales.
Se centran en la política de seguridad de la información, la cual debe ser definida, aprobada y revisada a intervalos planificados por la alta dirección, publicada y comunicada a todas las partes interesadas. Con la finalidad de garantizar el apoyo al SGSI de acuerdo con los requisitos comerciales, legales y contractuales de la organización. (Global Standards, S. C., n.d.)
Se numeraron los controles para una mejor referencia, a continuación se presentan las valoraciones que obtuvo cada control.
|
REF.
|
CONTROL
|
VALORACIÓN
|
|
1
|
Políticas
para la seguridad de la información.
|
3
|
|
2
|
Abordar
la seguridad de la información en los acuerdos con los proveedores
|
2
|
|
3
|
Roles
y responsabilidades en seguridad de la información
|
1
|
|
4
|
Gestión
de la seguridad de la información en la cadena de suministro de las
tecnologías de la información y la comunicación (TIC).
|
3
|
|
5
|
Segregación
de funciones
|
4
|
|
6
|
Monitoreo,
revisión y gestión de cambios de los servicios de los proveedores
|
2
|
|
7
|
Responsabilidades
de gestión
|
1
|
|
8
|
Seguridad
de la información para el uso de servicios en la nube
|
5
|
|
9
|
Contacto
con autoridades
|
4
|
|
10
|
Planificación
y preparación de la gestión de incidentes de seguridad de la información.
|
1
|
|
11
|
Contacto
con grupos de interés especial.
|
2
|
|
12
|
Evaluación
y decisión sobre eventos de seguridad de la información
|
2
|
|
REF.
|
CONTROL
|
VALORACIÓN
|
|
13
|
Políticas
para la seguridad de la información.
|
3
|
|
14
|
Abordar
la seguridad de la información en los acuerdos con los proveedores
|
2
|
|
15
|
Roles
y responsabilidades en seguridad de la información
|
1
|
|
16
|
Gestión
de la seguridad de la información en la cadena de suministro de las
tecnologías de la información y la comunicación (TIC).
|
3
|
|
17
|
Segregación
de funciones
|
4
|
|
18
|
Monitoreo,
revisión y gestión de cambios de los servicios de los proveedores
|
2
|
|
19
|
Responsabilidades
de gestión
|
1
|
|
20
|
Seguridad
de la información para el uso de servicios en la nube
|
5
|
|
21
|
Contacto
con autoridades
|
4
|
|
22
|
Planificación
y preparación de la gestión de incidentes de seguridad de la información.
|
1
|
|
23
|
Contacto
con grupos de interés especial.
|
2
|
|
25
|
Evaluación
y decisión sobre eventos de seguridad de la información
|
2
|
|
26
|
Derechos de propiedad intelectual
|
5
|
|
REF.
|
CONTROL
|
VALORACIÓN
|
|
27
|
Transferencia de información
|
5
|
|
28
|
Protección de los registros
|
5
|
|
29
|
Control de acceso
|
2
|
|
30
|
Privacidad y protección de la información personal identificable
(PII)
|
5
|
|
31
|
Gestión de la identidad
|
3
|
|
32
|
Revisión independiente de la seguridad de la información
|
4
|
|
33
|
Información de autentificación
|
2
|
|
34
|
Cumplimiento de las políticas, reglas y normas de seguridad de la
información.
|
3
|
|
35
|
Derechos de acceso
|
3
|
|
36
|
Procedimientos operativos documentados
|
1
|
|
37
|
Seguridad de la información en las relaciones con los proveedores
|
4
|
Nivel de Maduración de SGSI – Método CCMI.
Se utilizó el CMMI (Capability Maturity Model Integration) que evalúa los procesos organizacionales en cinco niveles de madurez:
NIVEL 1 Inicial → Implementación ad hoc, sin procesos definidos.
NIVEL 2 Gestionado → Procesos básicos, pero reactivos.
NIVEL 3 Definido → Procesos estandarizados y documentados.
NIVEL 4 Cuantitativamente Gestionado → Uso de métricas y monitoreo.
NIVEL 5 Optimizado → Mejora continua basada en análisis.
Para aplicar a nuestro SGSI la métrica que permita medir qué tan estructurados y optimizados están los controles de seguridad de nuestra entidad, a continuación se muestran los resultados de una serie de preguntas realizadas para medir la valorización.
Para este tipo de control se tiene 37 sub-controles los cuales se han evaluado a través de 39 preguntas, a partir de este dato se realiza la escala de los niveles de maduración CMMI, la escala se construye a partir del valor mínimo que pueden obtener los controles, siendo este 37 y el valor óptimo 185, luego de obtener la valorización de las preguntas se llegó al siguiente cuadro:
La valorización real es la sumatoria de todos los puntos obtenidos para los 37 sub-controles, la cual alcanzaron un valor de 110, este valor se encuentra en el NIVEL 2 de la escala CMMI esto indica que hay procesos básicos pero aún se actúa de forma reactiva ante los riesgos.
Comentarios
Publicar un comentario