Tecnología Automotriz
Auditorías Gubernamentales
Implantación exitosa del software para la gestión del proceso de Auditorías Internas, utilizando AUDITA y AUDITA2. El software se adaptó a la dinámica y metodología de la Administración.
Tipo de proyecto
Servicios de Gobernanza, Riesgo y Cumplimiento (GRC)
Descripción del cliente
Con sede en Belton, MO, y más de 1.600 empleados y 14 centros de fabricación, el cliente posee una cartera de marcas que proporcionan soluciones de seguridad y productividad a fabricantes y operadores de vehículos de flota de todo el mundo. Estas marcas sirven a varios mercados principales, incluyendo: Autobuses, Ferrocarriles, Vehículos Recreativos, Camiones y Remolques, Camiones de Trabajo, Fuerzas de Seguridad, Bomberos, Servicios Médicos de Emergencia, Industria, Construcción, Agricultura, Residuos/Reciclaje y Militar.
Con la tecnología como piedra angular de sus operaciones, la empresa utiliza ampliamente plataformas en la nube para las operaciones comerciales y el almacenamiento de datos.
Problema
Dada la escala global de sus operaciones y la naturaleza sensible de los datos que manejaba, la empresa se enfrentaba a numerosos retos de ciberseguridad. Entre ellos, la falta de medidas integrales de ciberseguridad, las posibles vulnerabilidades de su infraestructura de seguridad en la nube y la ausencia de un marco de ciberseguridad estandarizado. Además, la empresa quería evaluar el rendimiento de la inversión (ROI) de sus medidas de ciberseguridad existentes.
Solución
Datasec, a renowned provider of cybersecurity solutions, was brought onboard. The proposed engagement was divided into six Statements of Work (SOWs).
1. Plan de remediación de ciberseguridad en la nube y evaluación de seguimiento: Datasec identificó vulnerabilidades críticas en la infraestructura de seguridad en la nube del cliente y colaboró en su corrección. Una evaluación de seguimiento garantizó la eficacia de las medidas correctoras.
2. Análisis de inversiones en ciberseguridad en la nube: Datasec realizó un análisis exhaustivo del ROI de las inversiones en ciberseguridad del cliente. También identificó posibles áreas de mejora y ahorro de costes.
3. Evaluación de brechas de ciberseguridad, evaluación de madurez y plan de mejora: Se llevó a cabo una evaluación exhaustiva de las deficiencias de los controles, políticas y procedimientos de ciberseguridad actuales, con una evaluación del nivel de madurez de la postura de ciberseguridad del cliente. A continuación, Datasec proporcionó un plan de mejora detallado basado en estos resultados.
4. Marco integral de ciberseguridad: Se desarrolló un sólido marco de ciberseguridad que se alineaba con las mejores prácticas de la industria. Se definieron claramente las políticas, los procesos y las funciones, y se estableció un plan de implantación.
5. Aumento del personal de ciberseguridad y servicios de CISO virtual: Datasec proporcionó profesionales experimentados en ciberseguridad para complementar el equipo del cliente. Se asignó un director de Seguridad de la Información (CISO) virtual para que actuara como asesor principal en materia de ciberseguridad.
6. Servicios gestionados de ciberseguridad – SOC como servicio y respuesta a incidentes: Se proporcionó un equipo del Centro de Operaciones de Seguridad (SOC) para la supervisión continua y la respuesta a incidentes, junto con análisis rutinarios de vulnerabilidades e informes de inteligencia sobre amenazas.
Impacto
El compromiso condujo a mejoras significativas en la postura de ciberseguridad del cliente. La empresa contaba ahora con un entorno de nube seguro, un marco de ciberseguridad completo y un uso más eficiente de las inversiones en ciberseguridad. El aumento de personal y la introducción de un CISO virtual aportaron una experiencia muy necesaria, permitiendo una mejor gestión de los esfuerzos de ciberseguridad. La supervisión continua por parte del equipo del SOC garantizó que las amenazas potenciales se detectaran y mitigaran en tiempo real. En general, esta renovación integral de la ciberseguridad inculcó una cultura de concienciación sobre la ciberseguridad dentro de la organización, al tiempo que protegía sus activos y datos críticos.