Perito Informático Colegiado

Cristian Cuerda González

Auditorias y gestión de riesgos

Realizo auditorias internas para tus sistemas de información siguiendo la Norma ISO 27001, garantizando la gestión de riesgos informáticos en su negocio. Además, también ofrezco labores de asesoría y consultoría para la implementación de dicha Norma en su empresa y poder obtener así la correspondiente certificación ISO.

¿Qué es una auditoria informática?

Una auditoría informática es un proceso de análisis sobre los recursos TI de una empresa. El objetivo es el de evaluar su estado y el nivel de seguridad existente. Las auditorías identifican las vulnerabilidades que tiene una empresa y los incumplimientos de las políticas de seguridad. Con la gestión de riesgos, los corregimos e incrementamos el nivel de protección y seguridad de toda la organización.

Mejorar gracias al análisis de los resultados

El carácter preventivo de una auditoría informática permite evitar riesgos y amortiguar las graves consecuencias de los mismos. Se trata de un proceso proactivo donde se analiza y actúa con el objetivo de implementar cambios que incrementen la seguridad de los SI de la empresa.

Ventajas al realizar una auditoría informática

  • Optimiza los sistemas informáticos de la empresa.
  • Elimina vulnerabilidades y reduce de forma notable los riesgos a los que se exponen los sistemas informáticos.
  • Permite actuar antes de que ocurra un incidente que vulnere la seguridad.
  • Marca un camino claro de actuación en caso de sufrir un incidente de seguridad para reducir su impacto.
  • Actualiza y optimiza las políticas y procedimientos de seguridad informática.
  • Evita multas o sanciones por incumplimientos de las leyes y normativas de protección de datos.

IMPLEMENTACIÓN DEL CERTIFICADO ISO 27001

Gestión de la Seguridad de la Información

Te guio en el proceso de implementación de la ISO 27001 de Seguridad de la Información en tu empresa para poder diferenciarte de la competencia y ofrecer un signo de certificación distintivo a tus clientes.

¿Qué es la ISO 27001?

La norma ISO 27001 de Seguridad de la Información es un estándar internacional que certifica que quien la posee cumple con una serie de garantías, en este caso de seguridad de la información, y que cuenta con un sistema capaz de afrontar los ataques informáticos, secuestros de información, fraudes u otras amenazas tecnológicas.

Cualquier empresa u organización puede diseñar un sistema de gestión de seguridad de la información basándose en este estándar. Esta norma da confianza y seguridad a los clientes de la compañía, ya que permite saber que cuenta con los controles y procedimientos necesarios tanto para evitar un ciberataque como para solventarlo. Asimismo, el sistema de seguridad de la empresa debe garantizar la confidencialidad de la información, a la que solo accederá el personal autorizado, y que estará disponible para su consulta cuando lo necesiten.

¿Cómo implementar la ISO 27001?

La norma ISO 27001 fija el protocolo a seguir a la hora de implantar un Sistema de Gestión de la Seguridad de la Información (SGSI) en una empresa. El proceso abarca varias fases, como definir el alcance de este sistema, analizar los riesgos y su gestión, seleccionar qué controles se van a implementar, cómo aplicarlos y finalmente cómo revisar este sistema.

La norma ISO 27001 describe la terminología que se aplica en este estándar, recoge indicaciones para comprender las necesidades de la empresa en materia de seguridad de la información, incluye cómo debe ser la planificación del SGSI y sus objetivos, e incluso cómo mejorarlo una vez evaluado mediante una auditoría interna.

El objetivo de esta certificación, explican desde AENOR (Asociación Española de Normalización y Certificación), es implantar la ciberseguridad orientada a los procesos y objetivos del negocio considerando el análisis de riesgos. Entre los beneficios que implica aplicar esta norma en la empresa se encuentra el cumplimiento de normativas sobre protección de datos y privacidad, así como la optimización de recursos y costes orientados a la ciberseguridad.

Fases para obtener la certificación ISO 27001

GAP Análisis

Consiste en evaluar el estado actual de tu empresa en cuanto al cumplimiento de la ISO 27001, evaluando los procesos y procedimientos actuales e identificando aquellos que no cumplen con la Norma.

Implementación

Te asesoramos y ayudamos a realizar los cambios necesarios en los procesos de tu empresa para proteger tus activos de información. Identificamos activos, vulnerabilidades, amenazas, requisitos legales que la empresa debe cumplir y riesgos a los que se expone. Con todo ello, se elabora el Plan de Gestión del Riesgo en el que establecemos las salvaguardas necesarias para su tratamiento.

Certificación

Por último, realizamos una auditoria interna del sistema que será la antesala a la auditoria de obtención del certificado ISO 27001 por parte de la certificadora que el cliente elija: Aenor, Applus, Bureau Veritas, EQA, Cámara Certifica, Iscertia, Adok, BSI, etc. Te asesoramos en la elección de la certificadora y solicitamos presupuestos por ti.

Auditoría y Gestión de Riesgos Informáticos con Magerit

Para nuestras auditorias en gestión de riesgos informáticos siguiendo la Norma ISO 27001, utilizamos MAGERIT. Esta metodología de análisis y gestión de riesgos está elaborada por el Consejo Superior de Administración Electrónica y permite:

Estudiar los riesgos que soporta un sistema de información

MAGERIT propone la realización de un análisis de los riesgos que implica la evaluación del impacto que una violación de la seguridad tiene en la organización;
señala los riesgos existentes, identificando las amenazas que acechan al sistema de información, y determina la vulnerabilidad del sistema de prevención de dichas
amenazas, obteniendo unos resultados.

Mejorar gracias al análisis de los resultados

Los resultados del análisis de riesgos permiten a la Gestión de Riesgos recomendar las medidas apropiadas que deberían adoptarse para conocer, prevenir, impedir,
reducir o controlar los riesgos identificados y así reducir al mínimo su potencialidad o sus posibles perjuicios.

¿A quién le interesa la auditoria con MAGERIT?

MAGERIT interesa a todos aquellos que trabajan con información digital y sistemas
informáticos para tratarla. Si dicha información, o los servicios que se prestan gracias a ella, son valiosos, MAGERIT les permitirá saber cuánto valor está en juego y les ayudará a protegerlo. Con MAGERIT se persigue una aproximación metódica que no deje lugar a la improvisación, ni dependa de la arbitrariedad del analista.

USO DEL SOFTWARE PILAR – MAGERIT

LA TECNOLOGÍA DEL CNI

Como herramienta de soporte para realizar nuestras auditorias, utilizamos el software PILAR en combinación con la metodología de análisis y gestión de riesgos elaborada por el Consejo Superior de Administración Electrónica, MAGERIT.

Los activos están expuestos a amenazas que, cuando se materializan, degradan el activo, produciendo un impacto. Si estimamos la frecuencia con que se materializan las amenazas, podemos deducir el riesgo al que está expuesto el sistema.

Degradación y frecuencia califican la vulnerabilidad del sistema. El gestor del sistema de información dispone de salvaguardas, que o bien reducen la frecuencia de ocurrencia, o bien reducen o limitan el impacto. Dependiendo del grado de implantación de estas salvaguardas, el sistema pasa a una nueva estimación de riesgo que se denomina riesgo residual.

PILAR dispone de una biblioteca estándar de propósito general, y es capaz de realizar calificaciones de seguridad respecto de normas ampliamente conocidas como son: