EVALUACIÓN DE RIESGOS DE SEGURIDAD
REALIZAR UNA EVALUACIÓN DE RIESGOS
Identificación de los sistemas de información más importantes y trazado de los flujos de datos críticos.
CISO AG revisará los objetivos de seguridad de su organización y llevará a cabo una evaluación de riesgos para informar de sus opciones de ciberseguridad. Al entender el riesgo de seguridad de la información y el impacto que puede tener en una organización, los consultores de CISO AG sientan las bases para un programa formalizado de gestión de riesgos de TI.
La gestión de riesgos es el proceso continuo de identificar, evaluar y responder a los riesgos. Se trata del primer paso en el ciclo de seguridad de la gestión de riesgos, una evaluación de riesgos proporciona una visión de la eficacia de su postura de seguridad y actúa como una línea de base para el desarrollo de políticas y decisiones de control.
EVALUACIÓN DE RIESGOS DE SEGURIDAD
Se consigue mediante los siguientes procesos:
Identificación de todas las "partes interesadas" que pueden acceder a sus datos sensibles o tratarlos in situ.
Identificar todas las terceras partes pertinentes que procesan datos críticos y priorizarlas en función del riesgo.
Identificar los límites de los sistemas bajo su control, frente al control/acceso de terceros.
Creación de un proceso de incorporación de proveedores que incluya diversas comprobaciones de conformidad con sus políticas y el cumplimiento de la tolerancia al riesgo de su organización.
Garantizar que todas las terceras partes existentes tengan contratos, con cláusulas, SLA y sanciones adecuadas.
Garantizar que las obligaciones relativas a la violación de datos se incorporan y se ponen a prueba, junto con la concienciación y participación de su equipo interno (incluido su equipo de relaciones públicas).
Cumplimiento de las obligaciones contractuales mediante auditorías y revisiones del rendimiento de los proveedores.
Utilización de herramientas de categoría mundial para realizar una evaluación continua de los riesgos técnicos de sus proveedores más importantes.
Incorporar los comentarios de la evaluación a un proceso de mejora continua de su cadena de suministro
Escalada de riesgos importantes a Compras, para ayudar a su organización a alejarse de aguas peligrosas.
RAZONES PARA EVALUAR LOS RIESGOS PARA LA SEGURIDAD DE LA INFORMACIÓN
Este servicio es un modelo rentable que puede ampliarse -tanto en duración como en alcance- para satisfacer las necesidades de seguridad específicas y únicas y el apetito de riesgo del cliente. Gracias a este paquete, nuestros clientes pueden centrarse en sus actividades empresariales principales, con la garantía de que sus activos de información están disponibles y son eficaces y seguros.
Más allá de establecer las bases de la postura de seguridad de una organización, las evaluaciones de riesgos para la seguridad de la información son también el primer requisito establecido en normativas federales como la Ley Sarbanes-Oxley (SOX), la Ley Gramm-Leach Bliley (GLBA) y la Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA).
La Industria de Tarjetas de Pago - Normas de Seguridad de Datos también requiere que los comerciantes de todos los tamaños lleven a cabo la debida diligencia en la evaluación del riesgo en sus operaciones tecnológicas. Esto también es un requisito en el marco del RGPD.
VISIÓN GENERAL
Identificar activos
- Material e inmaterial
- Personas
- Proceso
- Tecnología
Identificar amenazas y vulnerabilidades
- Medio ambiente
- Humano
- Social
- Interiores y exteriores
Evaluar el estado actual
- ¿Estamos haciendo lo correcto?
- ¿Las estamos haciendo bien?
- ¿Las estamos haciendo bien?
- ¿Estamos obteniendo beneficios?
Evaluar los riesgos
- Análisis del impacto empresarial
- Análisis cuantitativo y cualitativo
- Evaluación de probabilidad e impacto
- Priorización de riesgos
Asignar propiedad
- Un individuo, no un equipo o departamento