Consultoría – PMG

Detalles Generales

Gestión de Tecnologías y Seguridad de la Información.

Info World entrega a las organizaciones los servicios profesionales de primer nivel, para lograr una continuidad operacional a través de sistemas informáticos seguros, de alta disponibilidad, calidad y cumplimiento con estándares internacionales relacionados.

Con esto, se otorga soluciones integradas de manera de apoyar en la gestión interna, control de riesgos y garantizar el cumplimiento con sus entidades reguladoras.

SGSI

Los servicios de consultoría tienen por objetivo general, realizar las actividades de implementación de un “Sistema de Gestión de Seguridad de la Información”, utilizando como metodología de implementación la normativa ISO/IEC 27001:2005 – ISO/IEC 27002:2005, y tomando como base la documentación existente dentro de la compañía.

Etapa 1

  • Diagnosticar la situación de seguridad de la información institucional.
  • Identificar todos aquellos aspectos de seguridad de la información que establece la normativa ISO/IEC 27001:2005 y el nivel en que la organización se encuentra con respecto de ellos.
  • Determinar las brechas a ser abordadas en el Plan General de Seguridad de la Información institucional.

Etapa 2

  • Definir el Plan General de Seguridad de la Información institucional, para el año en curso y siguientes, considerando los resultados del diagnóstico y brechas detectadas en la Etapa I, y que comprenda la coordinación de todas las unidades vinculadas y los métodos para la implementación de la norma ISO/IEC 27001:2005. Este plan debe estar aprobado por la autoridad superior de la organización.
  • Elaborar el Programa de Trabajo Anual para implementar el plan de seguridad de la información definido, señalando el porcentaje de cada uno de los dominios de la norma ISO/IEC 27001:2005 que se alcanzará para el año, hitos, cronograma, plazos y responsables.
  • Plan de Mitigación de Riesgos, que defina los riesgos asociados al plan y sus acciones para resolverlos. Difusión/capacitación/sensibilización a todos los funcionarios del plan de seguridad de la información y su programa de trabajo aprobado por la autoridad de la organización.

Etapa 3

  • Plan de Mitigación de Riesgos, que defina los riesgos asociados al plan y sus acciones para resolverlos. Difusión/capacitación/sensibilización a todos los funcionarios del plan de seguridad de la información y su programa de trabajo aprobado por la autoridad de la organización.
  • Registrar y controlar los resultados de la implementación del programa de trabajo anual considerando actividades, dificultades, grado de avance en el cierre de las brechas, holguras detectadas, implementación del plan de mitigación de riesgos asociados a cada proyecto o iniciativa, las acciones de difusión/sensibilización/capacitación y las modificaciones realizadas según lo programado.

Etapa 4

  • Evaluar los resultados de la implementación del Plan General de Seguridad de la Información y Programa de Trabajo Anual, y formular recomendaciones de mejora.
  • Difundir a los funcionarios los resultados de la evaluación del Plan y Programa de Trabajo Anual.
  • Diseñar el Programa de Seguimiento a partir de las  recomendaciones formuladas.
  • Mantener del grado de desarrollo del sistema de acuerdo a cada una de las Etapas.
  • Implementar los compromisos establecidos en el Programa de Seguimiento, considerando plazos y responsables para superar las brechas aún existentes y debilidades detectadas.

Gestión de Seguridad

El Sistema de Gestión de Seguridad de la Información (SGSI) permite identificar amenazas y vulnerabilidades que afectan a los activos de información  vinculados a cada proceso de la compañía. El énfasis de la consultoría está en desarrollar un plan para el tratamiento de riesgos, cautelando debidamente los siguientes activos de información: Equipos, infraestructura tecnológica, software, bases datos, personas e información propiamente tal en sus múltiples formatos (papel, electrónica, audio, video, etc.).

El objetivo del SGSI es “contar con un sistema de gestión de seguridad de la información que permita lograr niveles adecuados de integridad, confidencialidad y disponibilidad para todos los activos de información del negocio considerados relevantes, de manera tal que se asegure la continuidad operacional de los procesos institucionales y la entrega de productos y servicios a los usuarios / clientes / beneficiarios”.

A través del SGSI, se elaborará un levantamiento pormenorizado de estos activos en dos planes: el Plan de Continuidad del Negocio y el Plan de Recuperación frente a Desastres Tecnológicos. En toda organización moderna, donde un gran porcentaje  de sus procesos descansan en TIC, los planes mencionados se transforman en elementos fundamentales para cumplir los objetivos principales de gestión de seguridad de la información (lograr que todos los activos de información institucional estén protegidos desde las perspectivas de Confiabilidad, Integridad y Disponibilidad).


PMG – SSI

Los servicios de consultoría están diseñados para entregar una metodología concreta de implantación del sistema de seguridad de la información, de manera de habilitar a la institución en el desarrollo de cada una de las actividades específicas para el cumplimiento de lo comprometido con la Dirección de Presupuestos y el Ministerio del Interior para el presente PMG-SSI.

El detalle de actividades, se detalla a continuación:

Revisión de la evaluación de los controles específicos priorizados de la ISO/IEC 27001:2005 utilizando el instrumental provisto por la red de expertos del PMG-SSI, distribuidos en sus 11 dominios.

Revisión y actualización de acuerdo a nueva metodología, del levantamiento y análisis de riesgos sobre los activos de información para los procesos seleccionados.

Generación de todas las evidencias requeridas para el cumplimiento eficaz de las etapas involucradas en el PMG SSI de la Dirección de Presupuestos y el Ministerio del Interior, considerando lo siguiente:

Actualización de Etapa I de “Diagnóstico sobre los activos de información y análisis de riesgos”

  • Diagnóstico actualizado de acuerdo a nueva metodología, considerando el levantamiento y análisis de riesgos sobre los activos de información para los procesos seleccionados.

Actualización de Etapa II de “Planificación y evaluación de indicadores”

  • Revisión Plan General de Implementación del SSI en la institución, incorporando los nuevos proyectos en base al análisis de riesgos de los activos de información realizado (revisión y actualización).
  • Definición de indicadores de eficacia para los controles implementados, forma de cálculo, frecuencia de medición, metas, medios de verificación y supuestos.
  • Creación de:
    • Política General de Seguridad.
    • Resolución de nombramiento Encargado de Seguridad.
    • Resolución de nombramiento Comité de Seguridad.

Ejecución de Etapa III de “Implementación”

  • Implementación del programa de trabajo, actividades en curso.
  • Registro de Implementación, que contenga:
    • Plazos y Costos.
    • Bitácora (historial de eventos de re programación).
    • Gestión de Riesgos realizada.
    • Evidencias de cumplimiento (Documentos Referidos), sólo la recopilación de ellos.
    • Porcentaje de cumplimiento alcanzado.

Desarrollo de Etapa IV de “Plan general de auditoría de Seguridad”

  • Desarrollo del Plan General de auditoría e indicadores del SSI en la institución, incorporando la medición del estado de avance de los proyectos generados en base al análisis de riesgos de los activos de información realizado.
  • Definición de indicadores de eficacia para los controles implementados, forma de cálculo, frecuencia de medición, metas, medios de verificación y supuestos y periodicidad de aplicación.
  • Definición de Plan de Mejora Continua y presentación de resultados al Comité de Seguridad y a la institución.
Requerimiento

Formulario de Contacto

  • 4 + 17 =