Un director virtual de seguridad de la información (vCISO) es un consultor de nivel C, que proporciona apoyo en ciberseguridad como un alto ejecutivo interno. El vCISO actúa como una fuerza extrínseca para evaluar los sistemas de seguridad de una empresa, no se anda con rodeos en su evaluación y ofrece un gran valor tanto a las PYME como a las grandes organizaciones.
Fase 1 - Reconocimiento y definición del alcance
Duración: hasta 3 meses
Entregable: Cuestionario de la fase de reconocimiento (más de 500 preguntas respondidas con una puntuación de madurez COBIT 5 de 1 a 5)
Ventajas: La fase de reconocimiento permite al cliente comprender su postura de seguridad frente a las normas de mejores prácticas. Comprende qué requisitos de cumplimiento se aplican (GDPR, PCI, etc.) y aumenta la transparencia organizativa.
Requisitos - Primera semana in situ para reunirse con las siguientes partes interesadas clave:
Todas las preguntas pertinentes se plantearán a las partes interesadas concretas, que podrán responder por sí mismas o indicarnos la dirección correcta para una reunión de seguimiento con la parte interesada pertinente. Las preguntas pueden presentarse con antelación para acelerar la fase de reconocimiento.
Fase 2 - Análisis
Duración: hasta 1 mes
Resultado: Informe de evaluación de la madurez con las principales amenazas para su sector. Puntuaciones basadas en COBIT 5 (modelo de madurez de mejores prácticas) y comparadas con otras organizaciones similares.
Ventajas: Conozca su postura de seguridad frente a las amenazas específicas de su sector, así como la de otras organizaciones de su sector. Sepa dónde está más y menos maduro. Esto nos permite desarrollar una hoja de ruta de mejora de la seguridad basada en los riesgos.
Fase 3 - Hoja de ruta para mejorar la seguridad
Duración: hasta 2 meses
Producto final: Una estrategia de seguridad de la información totalmente prescriptiva, en forma de hoja de ruta basada en los riesgos, con estimaciones de costes y plazos estimados. Se necesitará un presupuesto adicional para la siguiente fase del proyecto.
Opcional: ¿Te cuesta llamar la atención de la junta directiva? Podemos ayudarle a conseguir presupuesto elaborando un estudio de viabilidad con un claro retorno de la inversión para cada elemento de la hoja de ruta. Esto irá precedido de una labor de concienciación sobre la importancia de la seguridad, con el fin de despertar el interés de la junta directiva. Incluiremos una serie de indicadores clave de rendimiento (KPI) de la organización para realizar un seguimiento y elaborar informes tras la ejecución del proyecto. Estos indicadores proporcionarán al consejo la garantía de que las inversiones en seguridad han merecido la pena.
Ventajas: Esta hoja de ruta le ayudará a abordar en primer lugar los riesgos organizativos y las lagunas de control más críticos.
Cada solución propuesta tendrá una descripción clara de los beneficios y el retorno de la inversión previsto, utilizando un análisis de riesgos cuantitativo para demostrar la previsión de pérdidas anuales antes y después de que se apliquen y prueben/validen las soluciones.
Fase 4 - Obras de saneamiento
Duración: En función del presupuesto y los plazos del cliente
Los proyectos de mejora de la seguridad suelen ser ejecutados localmente por el cliente, utilizando sus propios recursos. Proporcionamos asesoramiento continuo durante el proyecto para garantizar que los resultados se ajustan a los requisitos originales.
Fase adicional opcional de control de calidad: Si es necesario, podemos participar en la evaluación de las soluciones propuestas por distintos proveedores. Ofrecemos asesoramiento neutral respecto a los proveedores.
Ventajas: Remediar los riesgos de su organización es la razón fundamental para invertir en ciberseguridad.
El perfeccionamiento de su postura de seguridad le ayudará a prevenir, detectar, responder y garantizar la protección de sus activos de información. La seguridad por diseño reduce drásticamente los costes generales de las operaciones. Digitalice su organización y llévela a la era de la información con confianza.
Fase 5 - Después de la aplicación
Esta fase es la más sencilla, porque nuestros consultores ya han participado desde el primer día. Se trata básicamente de un "check in the box", una vez que se han puesto en marcha los proyectos y procesos necesarios, demostrando la mejora continua de la seguridad.
Beneficios: Aumenta la reputación de la empresa, el valor de las acciones y proporciona un punto de venta único/ventaja en un mercado competitivo. Demuestre a sus clientes que se preocupa por sus derechos y la seguridad de sus datos.
La acreditación de la norma ISO27001 demostrará la diligencia y el cuidado debidos, ayudando así a reducir las multas masivas del GDPR, las multas de la PCI y cualquier otra a la que pueda enfrentarse su organización.
Ofrecemos apoyo vCISO para el programa de ciberseguridad de su empresa, teniendo en mente la implantación de una estrategia de seguridad a largo plazo y la mejora continua, ya sea aprovechando lo que ya tiene en marcha o estableciendo la seguridad desde la base (y de arriba abajo a través de políticas y estrategias).
Nuestro servicio vCISO permite a las organizaciones llevar a cabo una evaluación exhaustiva de su postura de seguridad, detectando así los puntos débiles y optimizando el gasto en seguridad y el retorno de la inversión a largo plazo.
Ofrecemos apoyo vCISO para el programa de ciberseguridad de su empresa, teniendo en mente la implantación de una estrategia de seguridad a largo plazo y la mejora continua, ya sea aprovechando lo que ya tiene en marcha o estableciendo la seguridad desde la base (y de arriba abajo a través de políticas y estrategias).
Nuestro servicio vCISO permite a las organizaciones llevar a cabo una evaluación exhaustiva de su postura de seguridad, detectando así los puntos débiles y optimizando el gasto en seguridad y el retorno de la inversión a largo plazo.
Actuando como asesor permanente de su organización, o como CISO interino, un vCISO intervendrá para establecer políticas, normas y procedimientos de seguridad, implantar marcos de control y establecer procesos que detecten y respondan rápidamente a los incidentes, permitiéndole perfeccionar continuamente su enfoque y abordar el dinámico panorama de amenazas en línea con las mejores prácticas del sector y los requisitos normativos.
Este servicio es un modelo rentable que puede ampliarse -tanto en duración como en alcance- para satisfacer las necesidades de seguridad específicas y únicas y el apetito de riesgo del cliente. Gracias a este paquete, nuestros clientes pueden centrarse en sus actividades empresariales principales, con la garantía de que sus activos de información están disponibles y son eficaces y seguros.
