Servicio Desde hace 36 años brindamos servicios de consultoría para enfrentar los desafíos de seguridad de la información y ciberseguridad de empresas de las más variadas industrias de Latinoamérica y USA. A continuación las diferentes modalidades: A los efectos de iniciar un proceso de mejora de la gestión de la seguridad de la información y ciberseguridad de cualquier organización, uno de los elementos más importantes es determinar cuál es el estado de situación actual, y cuál es el nivel de riesgo que actualmente la organización se encuentra aceptando de forma consciente o inconsciente. A estos efectos, el primer elemento a determinar es cuál será la línea base, o criterio de auditoría contra el que nos evaluaremos. Existen diversos marcos de referencia que según el tipo de organización o sector aplican. Algunos ejemplos son: Plan de Acción El plan de acción identifica los plazos y actores involucrados (gráfica RACI), así como otros recursos que deben ser considerados. Para cada caso, se determinará el entregable y resultado esperado, en base a criterios que hayan sido definidos. Ya sea en virtud del nivel de madurez que se desee alcanzar o el nivel de riesgo aceptable. Apoyo para la implementación Implementar los diferentes controles (administrativos, técnicos, físicos), tanto disuasivos, preventivos, detectivos y de diferente índole que se hayan identificado. Según el marco de referencia guía que sea utilizado, la implementación puede estar sumamente tabulada y definida, o dejar cierto grado de discrecionalidad para la organización. La protección de los datos personales es un derecho amparado por la Ley 18.331. Por este motivo, todos los ciudadanos tienen derecho a controlar el uso que se hace de sus datos, tanto en el ámbito público como en el privado. Asimismo, todas las organizaciones y personas físicas/jurídicas que hagan uso de datos personales de terceros están obligadas por la ley a atender a un conjunto de deberes, siendo pasibles de sanciones en caso de incumplimiento. La determinación del estado de cumplimiento de su organización en lo que hace a la declaración ante la autoridad competente de bases de datos con datos personales. La detección de datos sensibles entre los datos personales manejados y el análisis de la necesidad de su recolección, uso y retención. El análisis de la brecha que pueda existir entre los procedimientos de su organización y lo estipulado por la reglamentación vigente en lo que refiere a la recolección y tratamiento de datos personales. La prestación del servicio de delegado de protección de datos personales, en caso de que por ley sea necesario que su organización cuente con este y no disponga del perfil adecuado a efectos del cumplimiento. La producción de una lista de recomendaciones orientadas a la mitigación de la eventual brecha, tanto técnicas como de gestión y el acompañamiento para su implementación. La ISO 27001 es una norma orientada al establecimiento del Sistema de Gestión de Seguridad de la Información (SGSI). La información es un activo y como tal tiene valor y requiere en consecuencia, una protección adecuada. Esto refiere en especial (aunque no únicamente) a Disponibilidad, Integridad y Confidencialidad. Datasec puede apoyarlo en: La sensibilización de información mediante talleres y actividades especialmente orientadas a cada nivel organizativo. El análisis de brecha para determinar el nivel de riesgo de seguridad actual y el esfuerzo de mejora. Auditorías internas del SGSI Apoyo a la adecuación organizacional. Es una parte integral del Buen Gobierno Corporativo y consiste en el Liderazgo, los Procesos y las Estructuras Organizativas que aseguran que las estrategias y los objetivos de la organización están adecuadamente soportados y extendidos en el ámbito de las Tecnologías de la Información. Basándose en los marcos CobiT 4.1 y Cobit 5, se debe conseguir que se mitiguen los riesgos tecnológicos, se aporte valor al negocio y se utilicen los recursos de forma eficaz y eficiente. Le ayudamos a determinar qué tecnología de TI y estructura organizativa pueden ser las más adecuadas para su contexto interno y externo. Incluye el diagnóstico de deficiencias, el apoyo a la mejora y la supervisión. Se desarrollan indicadores para demostrar el valor generado. Si su organización requiere desarrollar o fortalecer el Gobierno corporativo, podemos ayudarlo. Incluye un proceso de apoyo y acompañamiento hasta lograr el cambio cultural necesario. Si bien la correcta gestión de riesgos es una herramienta para ayudar al logro de los objetivos mediante el establecimiento de controles, a veces los riesgos efectivamente ocurren. Contar con un plan de continuidad de negocios ayuda a que la organización se recupere en plazos y formas aceptables ante la ocurrencia de riesgos disruptivos. Los mismos pueden ser tecnológicos o de otro tipo. Es necesario contar con un plan aprobado, difundido y probado. Datasec puede apoyarlo en: Nuestra empresa es pionera en difundir y apoyar buenas prácticas de Cumplimiento. El impacto legal de no tener un adecuado SIPLAFT puede tener una magnitud inaceptable. Se ha trabajado exitósamente, desarrollando sistemas antifraude, anticorrupción y contra el lavado de activos; participando en foros, desarrollando programas de capacitación, consultoría y usando los software Meycor y Arbutus. En Uruguay, la reciente ley 19574 impone obligaciones a sujetos no financieros sobre contar con políticas, procedimientos y gestión de riesgos al respecto. Su organización puede tener una estructura pequeña, media o grande, pero la obligación de cumplir está presente. Las multas y sanciones penales y administrativas pueden ser graves, pero aún más grave es el daño a su imagen si inadvertidamente sus controles fallan y el riesgo de ser usado en una operación de lavado se concreta. La gestión de riesgos es necesaria en cualquier organización que desee alcanzar sus objetivos. Su integración a los actuales sistemas de gestión de la organización (ISO 31004) debe ser armónica y realista acorde al contexto interno y externo. El control interno, acorde a COSO III, está considerado por Datasec en este servicio. Actividades de formación y talleres sobre riesgos. Desarrollo del marco, metodología y roles en gestión de riesgos. Apoyo al desarrollo y seguimiento de planes de mitigación de riesgos. Coaching para la creación de la Unidad de Riesgos. Disponemos del software Meycor GRC que proporciona los resultados del servicio de forma segura y de modo que la organización continúe con sus labores de mantener y mejorar el sistema de gestión de riesgos creado. Identificación y rediseño de procesos de negocio. Identificación de riesgos acorde a la metodología aprobada. Coaching para la auditoria en auditoria basada en riesgos. Integración de la gestión de riesgos con la ISO 9001:2015. Datasec ofrece para la auditoria las soluciones Arbutus (análisis de datos, detección de fraudes) y Audita (planificación, ejecución y papeles de trabajo y gestión de auditores). El Marco de controles de seguridad SWIFT es un conjunto de controles obligatorios y sugeridos que deben cumplir todas las instituciones financieras que son clientes de esta red. Establece una línea de base con controles que buscan prevenir actividades fraudulentas y garantizar la seguridad de la información que manejan los clientes SWIFT. Los controles se actualizan periódicamente. Los clientes SWIFT deben realizar una autoevaluación de los requisitos obligatorios y garantizar su cumplimiento para lograr la certificación. SWIFT establece estos controles a partir de un análisis de la inteligencia de amenazas cibernéticas y están alineados con los estándares internacionales de seguridad más importantes: Datasec se encuentra registrado en la página de SWIFT dentro del Directorio de proveedores de servicios de ciberseguridad y el Directorio de proveedores de evaluación ¿Qué le ofrece DATASEC?
Consultoría SI y Ciberseguridad
En base a los hallazgos de la fase de diagnóstico, el nivel de riesgos identificados, y considerando las restricciones que pueda tener la organización es posible definir un plan de acción, que permita identificar las principales acciones en virtud de la relación costo beneficio que aportan para la seguridad de la información y ciberseguridad de la organización.
Finalmente, una vez aceptado el plan de acción, es necesario pasar a la acción.
Se toma como referencia las prácticas de la OCDE, el Informe Coso, la ISO 38500 y la normativa aplicable en cada país, sea que necesite fortalecer sus sistemas de información, el control interno o la gestión de riesgos.
Para ello aplica la normativa jurídica del país y las buenas prácticas internacionales. Dentro de este servicio se encuentra especialmente desarrollado el apoyo al establecimiento de un sistema de control interno y gestión de riesgos en empresas familiares y la sucesión.
NIST Cybersecurity Framework
ISO 27001:2013
PCI DSS
«SWIFT no certifica, garantiza, respalda ni recomienda a ningún proveedor de servicios que figure en su directorio y los clientes de SWIFT no están obligados a utilizar los proveedores que figuran en el directorio»