Cumplimiento normativo Seguridad IT

Seguridad IT
Cumplimiento normativo
El Plan Director de Seguridad tiene como objeto
determinar los proyectos que deben ser acometidos por la
Organización a corto, medio y largo plazo para garantizar
una correcta gestión de la seguridad de la información y
evitar la materialización de incidentes de seguridad que
podrían afectar de forma negativa a la misma.
Ley de Protección de Infraestructuras Críticas
Establecer las estrategias y las estructuras adecuadas que
permitan dirigir y coordinar las actuaciones de los distintos
órganos en materia de protección de infraestructuras
críticas, previa identificación y designación de las mismas,
para mejorar la prevención, preparación y respuesta frente
a atentados terroristas u otras amenazas que afecten a
infraestructuras críticas.
Requerimientos de los Operadores
Servicio Integral de Cumplimiento PCI-DSS

Plan de Seguridad del Operador.

Plan de Protección Específico para cada IC.

Nombrar un Responsable de Seguridad y Enlace
único.

Nombrar un Delegado de Seguridad por cada IC.

Actualizar anualmente a requerimiento del
clientes en materia de cumplimiento de PCI-DSS,
desde ITS Security se han diseñado servicios que
permitan la orientación al cliente con independencia
del tamaño y nivel de seguridad de la organización y
que permitan un acompañamiento continuo durante el
Ministerio del Interior.

Con el objetivo de satisfacer las necesidades de los
ciclo completo.
Facilitar las inspecciones y solventar las
deficiencias en el menor tiempo posible.
Servicio Integral de Cumplimiento LPIC
Con el objetivo de satisfacer las necesidades de los
clientes en materia de cumplimiento de la Ley de
Protección de Infraestructuras Críticas y su normativa de
desarrollo, Desde ITS se han diseñado servicios que
permitan la orientación al cliente con independencia del
tamaño y nivel de seguridad de la organización y que
permitan un acompañamiento continuo.
www.its-security.es
Seguridad IT
Servicio Integral de Cumplimiento ENS
Con el objetivo de satisfacer las necesidades de los
clientes en materia de cumplimiento del ENS, desde ITS
Security se han diseñado servicios que permitan la
orientación al cliente con independencia del tamaño y nivel
de seguridad de la organización y que permitan un
acompañamiento continuo durante el ciclo completo.
Se persiguen 3 objetivos:
Servicio Integral de Cumplimiento LOPD
Ante esta realidad legal (15/1999) y los riesgos
pecuniarios que comporta su incumplimiento ITS pone a
disposición de su organización un servicio de adaptación
a la LOPD integrado por profesionales altamente
cualificados tanto en
el área jurídica como en la
informática .Ocho años de experiencia en LOPD y más
de 200 proyectos realizados tanto en el sector público
como en el privado nos avalan.
1. Preservar la confidencialidad de los datos de
la empresa.
2. Conservar la integridad de estos datos.
3. Hacer que la información protegida se
encuentre disponible.
Una empresa que tiene implantada la ISO 27000
garantiza, tanto de manera interna como al resto de las
empresas, que los riesgos de la seguridad de la
información son controlados por la organización de
una forma eficiente. El estándar ISO 27000 es
totalmente compatible con otras normas de sistemas
de gestión (ISO 9001, ISO 14001, OHSAS 18001, …) y
puede ser implantado de forma integrada con estas.
Aunque la ISO 27000 puede ser implantada en
cualquier tipo de organización pública o privada, es
especialmente recomendada para aquellas empresas
que, debido al tipo de información con la que trabajan
(médica,
financiera,
sanitaria,
laboral,
software,
asegurados, …), desean garantizar la preservación y
protección de sus datos.
Servicio Integral de Cumplimiento ISO 27000
La ISO 27000 es la norma que explica cómo implantar un
Sistema de Gestión de Seguridad de la Información. La
implantación de una ISO 27000 en una organización permite
proteger la información de ésta de la forma más fiable posible.
www.its-security.es
CISO Outsourcing
Asesoramiento permanente en materia de tecnologías de
la información y ciberseguridad, teniendo por objetivo:
o
La transferencia continuada de conocimiento
especializado
en
materia
de
seguridad
y
tecnologías de seguridad para asegurar la
continuidad del negocio..
o
Soporte en las decisiones de seguridad y
tecnologías de seguridad que haya que abordar
desde el Comité de Seguridad o lo comités de
dirección.
o
Alineamiento de los procesos de seguridad y
sistemas con los procesos de negocio.
o
Formación
al
prestadores
de
personal,
servicios
responsables
en
y
materia
ciberseguridad y tecnologías de seguridad.
o
Elaboración de pruebas y análisis de soluciones.
o
Asesoramiento para la resolución de incidentes.
Gobierno IT
Protección de infraestructuras IT y Gestión de la seguridad
de la Información
ITS-Security ayuda a sus clientes a proteger sus sistemas
de información y la información alojada en los mismos,
siendo la prevención la piedra angular de su filosofía.
ITS-Security plantea los proyectos de seguridad desde
una visión global, asesorando e integrando las soluciones
técnicas, organizativas y metodológicas necesarias.
Ciclo completo de la seguridad
Análisis de la situación actual – Diagnóstico de situación:
Auditoría
Revisión

y evaluación de la seguridad tecnológica y
organizativa de la seguridad de la organización, con la
finalidad de conocer la realidad, respecto a la situación



actual de la seguridad de los sistemas, y así poder tomar
las decisiones necesarias para eliminar acceso no
autorizados, prevención
de robos
y/o pérdida
de
información y de productividad.

Auditorías Internas/Externas.

Auditorías de Sistemas de Comunicaciones.



Auditoría de los sistemas de información (Test de
intrusión interno / Test de intrusión externo).
Análisis de la topología de red.
Análisis de riesgos (Magerit / etc.).
Análisis GAP frente a un estándar o normativa de
seguridad (ISO 27001 / PCI DSS / ENS/ NIST,
etc.).
Escenario del riesgo.
Definición, integración y gestión de las tecnologías de
seguridad a implementar. (IPS/IDS, FW, AV, WAF, etc.).

Firewalls de nueva generación.
Auditorías de ataques de Spear-phising (ataques

Soluciones IPS/IDS.
APT) e Ingeniería Social.

Soluciones Anti-Malware (Endpoint, Perimetral,
Almacenamiento,...).
Auditorías de Aplicativos WEB.
o
Métodos HTTP y XST.
o
Inyección SQL.

Soluciones Anti-APT (Sandbox, Detección,...).
www.its-security.es
Seguridad IT

Soluciones Anti-DDoS.

Soluciones Filtrado de Navegación WEB.

Soluciones Data Loss Prevention (DLP).

Soluciones de Seguridad en Movilidad.

Soluciones de análisis de tráfico de red.

Soluciones SIEM.

Detección y Gestión temprana de incidentes
de seguridad.
Definición e Implantación de los procesos
organizativos y metodológicos necesarios
para una eficiente gestión de la seguridad de
la información.
Adecuación a normativas y estándares de
seguridad (ISO 27001 / PCI DSS / ENS/
NIST, etc.)
Monitorización de la seguridad de los
sistemas de información.



ITSco (Centro de Operaciones Seguridad Gestionada)

Mejorar la operación y tratamiento de la
información a través de la gestión y monitoreo
continuo, el análisis de los LOGs y la
respuesta inmediata a potenciales amenazas
de seguridad.

Ofrecer una visión acertada y confiable de los
niveles de seguridad en tiempo real.

Garantizar una protección efectiva de los
ITSco en un Centro de Operaciones de Seguridad que
activos
se compone de personas, procesos, infraestructura y
evidencias,
tecnología dedicados a gestionar, tanto de forma
recomendaciones para incrementar los niveles
reactiva como proactiva, amenazas, vulnerabilidades y
de seguridad. Alerta temprana.
en general incidentes de seguridad de la información,

de
proporcionando
tendencias,
análisis
y
Proteger las inversiones en tecnología y sobre
con el objetivo de minimizar y controlar el impacto en
todo
la organización.
operaciones.
Los principales recursos con los que contamos en el
información,
garantizar
la
continuidad
de
las
Funciones de ITSco
centro de operaciones:

Gestión de Riesgos y Vulnerabilidades.
Las personas: Especialistas con altos valores y

Gestión de Seguridad de la Información
(SGSI).
principios, certificados en tecnologías y herramientas
de redes y seguridad y con experiencia en la gestión y

Gestión
Centralizada
de
Elementos
Seguridad.
mitigación de ataques y vulnerabilidades.
Los procesos: Sistemas de Gestión y Buenas

Gestión de Mejoras y Actualización.
Practicas como •ITIL, COBIT, ISO-9001, ISO 27001.

Rastreo y Recuperación de Datos.

Detección de Anomalías y Fallas.

Operación de Servicios.

Operaciones Críticas.
Objetivos de ITSco (Centro de Operaciones).

Proporcionar soluciones rápidas y eficaces
frente a incidentes de seguridad.
www.its-security.es
de