Auditoría de Seguridad

Procesos y Gobierno IT

Auditoría de seguridad - Secure IT

Los servicios de Auditoría de Seguridad de Secure&IT permiten a nuestros clientes conocer y valorar los riesgos a los que está expuesta su organización para tomar decisiones y aplicar las contramedidas necesarias.

Secure&IT ha desarrollado un programa de auditoría líder en el mercado. Se trata de un servicio en el que se examinan más de 300 puntos de control que guardan relación con Seguridad Física, Seguridad Lógica, Cumplimiento Legal y Procesos de Seguridad en la Organización.

En el servicio participan de manera conjunta tres equipos de trabajo:

& Abogados expertos en Derecho de las TIC.
& Expertos en Procesos Corporativos de Seguridad.
& Expertos en seguridad informática, hacking ético y test de penetración.

Los tres equipos trabajan juntos en el análisis, con la intención de generar una herramienta única que ayude a la organización a reducir sus riesgos en aspectos como:

& Análisis y valoración de activos: Se realiza un análisis de los activos de información de la compañía y una clasificación en función de su valor relativo para la empresa.
& Evaluación de riesgos: Evaluación de vulnerabilidades, amenazas y riesgos de información y su criticidad.
& Análisis de elementos de seguridad física: Vídeovigilancia, control de accesos, protección contra incendios, inundaciones, etc.
& Análisis de disponibilidad de infraestructuras y servicios IT: Se analiza cualquier elemento que ponga en riesgo la disponibilidad de los servicios.
& Auditoría de Procesos de Seguridad: Se analizarán los procesos de seguridad y gestión de IT definidos en la empresa y el grado de cumplimiento de los estándares ITIL / ISO 20000 / ISO 27001 / ISO22301. Además, se verificará la existencia y cumplimiento de un Documento de Seguridad, Planes de Recuperación de Desastres (DRP) y Planes de Respuesta ante Incidentes de Seguridad (IRP).
& Cumplimiento legal: Análisis del cumplimiento del marco normativo exigible en TIC: LOPD, LSSI-CE, LPI, LGT, etc.
& Hacking Ético: Análisis de penetración en redes y sistemas, tanto desde el exterior como desde el interior de la red (caja negra y caja blanca).

Una vez concluida la auditoría por parte de los tres equipos de trabajo, se realiza un único documento denominado BITÁCORA DE VULNERABILIDADES, en la que aparecen ordenadas en función del riesgo para la empresa: 

& Tipo de vulnerabilidad (legal, procesos, informática, física).
& Sistemas o procesos de negocio afectados.
& Descripción de la vulnerabilidad.
& Contramedida propuesta.

Bitácora de Vulnerabilidades - Secure IT