GRC, resiliencia y servicios de Análisis de Cumplimiento Normativo

 

El panorama actual al que las empresas se tienen que enfrentar en materia de seguridad, privacidad y ciberseguridad, es complejo y dicha complejidad crece exponencialmente con el tiempo.

Si ese, junto con la protección y prevención, es uno de los puntos sobre sobre los que las empresas deben poner foco, no lo es menos el cumplir con los requisitos normativos al respecto.

Quizá todas no (aunque convendría que sí) pero, dependiendo de su actividad, sector al que se dedican, tamaño, tipo de clientes, etc., muchas empresas estarán obligadas a cumplir con determinadas normativas, directivas, reglamentos, regulaciones y leyes. Y, en caso de no cumplir con ellas, además de estar expuestas a posibles incidentes, podrán verse afectadas por sanciones y multas por dicho incumplimiento.

El objetivo final es la seguridad, la protección, la prevención y la resiliencia. Por ese motivo, la regulación en materia de protección de datos, seguridad y ciberseguridad es clave y se ampara en la necesidad de implementar robustos sistemas de GRC (Gobierno / Gobernance, Riesgo / Gestión del Riesgo / Risk Management y Cumplimiento / Compliance) en las organizaciones afectadas.

Pero, ¿conocemos las normativas que podrían afectar o aplicar en nuestra empresa? ¿Sabemos si tenemos obligatorio cumplimiento de las mismas o sólo a nivel de recomendación? ¿Sabemos si las cumplimos y en qué grado las cumplimos? Y, si no las cumplimos, o no al 100%, ¿sabemos qué tenemos que hacer para cumplirlas?¡Quizá haya que ponerse a ello lo antes posible!

Pero, en términos de Gobierno, Riesgo y Cumplimiento (GRC) respecto a la ciberseguridad, ¿de qué estamos hablando exactamente? Hablamos del establecimiento, implementación y gestión de determinadas políticas, procedimientos, recursos, modos de funcionar, servicios, controles, tecnologías, etc., en nuestra empresa, con las que poder garantizar que cumplimos con los principales marcos normativos internacionales de seguridad.

Existen multitud. Pero centrándonos en marcos o normas relativas a la ciberseguridad y a la protección de datos, entre las cuales podríamos identificar las siguientes (entre muchas otras):

• ISO/IEC (International Standarization Organization), y concretamente, la norma ISO 27001, que se focaliza en garantizar la seguridad, confidencialidad e integridad de los datos en los sistemas digitales que los procesan.

• NIST (Instituto Nacional de Estándares y Tecnología).

• CIS (Centro de Ciberseguridad), que ofrece controles críticos de seguridad para la prevención y mitigación de ciberamenazas.

• Directivas NIS y NIS2 (Network and Information Security), directiva europea para garantizar la seguridad en las redes y sistemas TI de la Unión Europea.

• ENS (Esquema Nacional de Ciberseguridad), que establece la política de seguridad para el uso de medios electrónicos en la Administración Pública (afectada y obligada y las empresas que trabajen con ella).

• RGPD / GDPR (Reglamento General de Protección de Datos), para el establecimiento de normas de protección de los derechos y libertades en lo que a los datos personales respecta.

• LOPDGDD (Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales), que viene a -sustituir a la antigua LOPD (Ley Orgánica de Protección de Datos) y trata de ser la equiparación de la RGPD al ordenamiento jurídico español.

• LSSICE (Ley de Servicios de la Sociedad de la Información y comercio Electrónico), que regula cómo deben ser los servicios TI y las contrataciones electrónicas.

La adhesión a estas normativas no solo es un requisito legal en muchos casos, sino que también es esencial para proteger los activos digitales de la empresa y la confianza de los clientes.

Por tanto, la evaluación del cumplimiento normativo es el primer paso en el proceso de consecución de un buen modelo GRC en materia de privacidad y ciberseguridad.

Esto implica un análisis exhaustivo por parte de expertos de las prácticas de seguridad y privacidad de la empresa, teniendo en cuenta los requisitos establecidos por los marcos normativos aplicables a cada caso.

En dicha tarea, los analistas revisan las políticas y procedimientos existentes en la organización, identifican vulnerabilidades y brechas de seguridad, y, con todo ello, determinan acciones de mejora y/o correctivas para incrementar el cumplimiento al mayor nivel posible.

Tras una concienzuda evaluación del cumplimiento normativo por parte de expertos, la empresa debe realizar una serie actividades recomendadas, con el fin de garantizar la adecuación técnica al cumplimiento normativo en materia de ciberseguridad, correspondiente al framework que haya sido analizado.

Digamos que el ejercicio o servicio profesional se compone de dos fases. La primera de ellas la auditoría del estado actual y la segunda de ellas la consultoría. El asesoramiento técnico profesional y experto, es vital, orientando sobre las medidas específicas que una organización concreta debe tomar para cumplir con los requisitos normativos.

La implementación de medidas para alcanzar un buen nivel de GRC, implica:

• Configuración y administración de sistemas de seguridad.

• Concienciación, educación y capacitación del personal en las políticas de seguridad.

• Implementación de controles y medidas técnicas de seguridad.

• Definición y aplicación de un Plan de Respuesta a Incidentes.

• Definición y puesta en marcha de una nueva estrategia y de consultorías periódicas.

Como decíamos, cada empresa, dependiendo de su sector, mercado, tipo de clientes, volumen, etc., tendrá sus propias necesidades y desafíos particulares y únicos en el ámbito de la ciberseguridad y la privacidad.

Esto es lo que hace necesario que, cada una de ellas, cuente con estrategias de consultoría y acción personalizadas, adaptadas 100% a las casuísticas específicas de cada empresa, con un enfoque particular para abordar ausencias detectadas y diseñar soluciones convenientes ajustadas a las circunstancias particulares de cada organización.

Las empresas no cuentan con un equipo experto dedicado a esto, por lo que subcontratan este tipo de servicios especializados de ciberseguridad y ciberinteligencia, como los que ofrecemos en Zerolynx: GRC, Análisis de Cumplimiento Normativo y Adecuación Técnica para el Cumplimiento Normativo.

¿Quieres que averigüemos si tu empresa cumple con la/s normativa/s que le pueda/n afectar y, si no cumple, indicarte qué debes hacer para cumplir?

Puedes ampliar detalles sobre nuestros servicios visitando la página de Zerolynx

Si lo prefieres, contáctanos y hablamos.

¿Sabes a qué nos dedicamos y cómo podemos ayudar a tu empresa?

Somos expertos en seguridad, inteligencia y seguridad patrimonial, en ciberseguridad, ciberinteligencia y ciberseguridad patrimonial.

Somos un grupo europeo especialista en ciberseguridad que presta servicios a empresas (B2B), luchando a diario contra los ciberdelincuentes y las ciberamenazas. Por ese motivo, contamos con capacidad total para afrontar ágilmente una respuesta conjunta y contundente ante cualquier problema de seguridad, físico o virtual.

Estamos presentes, actuando en todos y cada uno de los estadios o funciones de la ciberseguridad, dentro del marco NIST:

• Identificar: descubrimiento y listado de todos los elementos a proteger (datos, dispositivos, software, aplicaciones, servicios, etc.).

• Proteger: establecimiento de controles, medidas de actuación y soluciones de detección y de seguridad.

• Detectar: monitorización para la identificación actividad sospechosa y amenazas existentes.

• Responder: implantación de un plan completo de contraataque que incluya todo lo necesario (alerta, notificación, actuación, procesos, personas, mejora).

• Recuperar: restablecimiento del negocio y sus procesos, reparación de los efectos del incidente, y preparación para nuevos ataques y sus correspondientes respuestas.

Nuestros objetivos son el descubrimiento y la consecución de un elevado nivel de protección y de resiliencia / ciberresiliencia.

Nuestras cifras hablan por nosotros mismos:

• +93 Clientes protegidos.

• +7 Mill € en proyectos.

• +150K vulnerabilidades detectadas.

Los servicios que prestamos abarcan un gran abanico de respuestas y soluciones en el espectro de la seguridad, ciberseguridad, inteligencia y ciberinteligencia:

• Seguridad Ofensiva: evaluación de la situación en la que se encuentra la organización en materia de protección y ciberseguridad, “atacándonos a nosotros mismos para evidenciar, identificar, corregir, mejorar y proteger". 

• Alguno de estos servicios: Pentest externo, Pentest interno, Análisis de entornos cloud, o Red Team.

• www.zerolynx.com/es/servicios-ciberseguridad/seguridad-ofensiva-hacking 

• Inteligencia: obtención y recopilación de información y datos para la realización de un análisis en detalle de los mismos mediante la investigación y vigilancia, permitiendo así la identificación de riesgos y amenazas en la empresa que permitan protegerla convenientemente estableciendo planes de actuación personalizados. 

• Alguno de estos servicios: Huella Digital Corporativa, Huella Digital VIP, Búsqueda de Shadow IT, Monitorización de Riesgos en Internet y Dark Web, Informe de Ciberamenazas, Procesos de Due Dilligence, Análisis de Actor Malicioso, Investigaciones Ad Hoc.

• www.zerolynx.com/es/servicios-ciberseguridad/inteligencia 

• Ciberdefensa: mitigación de amenazas y reducción de la superficie de ataque mediante el establecimiento de un entorno hostil para los ciberatacantes, así como la monitorización y análisis con recomendaciones personalizadas de actuación, aplicando un modelo de defensa adaptativo, global e integral. 

• Alguno de estos servicios: Awareness, Integración de Soluciones de Seguridad, Bastionado de Equipos, Bastionado de Redes, Desarrollo Seguro.

• www.zerolynx.com/es/servicios-ciberseguridad/ciberdefensa

• Análisis Forense y Respuesta a Incidentes (DFIR): contención, en tiempo y forma, de los potenciales incidentes de las empresas y análisis de los mismos para la obtención de evidencias y la toma de medidas de seguridad necesarias para que no vuelva a ocurrir. 

• Alguno de estos servicios: Análisis Forense Digital y Respuesta ante Incidentes.

• www.zerolynx.com/es/servicios-ciberseguridad/analisis-forense-digital-dfir 

• Seguridad Patrimonial: establecimiento de todas aquellas medidas necesarias para la prevención de riesgos y amenazas en una empresa, así como la identificación y análisis de vulnerabilidades en los activos, bienes o valores de la misma. 

• Alguno de estos servicios: Auditoría de Seguridad Patrimonial, Gestión y Dirección de la Seguridad Patrimonial, Seguridad de las Operaciones (OPSEC), Amenazas Internas.

• www.zerolynx.com/es/servicios-ciberseguridad/seguridad-patrimonial

• GRC (Gobierno, Riesgo y Cumplimiento): alineamiento efectivo las actividades TI de tu empresa con los objetivos de negocio, para poder gestionar de manera eficaz los posibles riesgos de ciberseguridad asociados, respetando y aplicando las leyes, reglamentos y normativas de seguridad que afectan a los sistemas de información. 

• Alguno de estos servicios: Análisis de Cumplimiento Normativo, Adecuación Técnica para el Cumplimiento. 

• www.zerolynx.com/es/servicios-ciberseguridad/grc

Nuestros expertos cuentan con más de 50 de las certificaciones más destacadas del sector de la ciberseguridad, lo que avala su trayectoria profesional y su esfuerzo por aportar siempre los mejores servicios:

• OSCP (Offensive Security Certified Professional).

• OSCE (Offensive Security Certified Expert).

• CISM (Certified Information Security Manager).

• CISA (Certified Information Security Auditor).

• CDPSE (Certified Data Privacy Solutions Engineer).

• MVP (Microsoft Valuable Professional.

• CHE (Certified Ethical Hacker).

• CHFI (Computer Hacking Forense Investigator).

• CND (Certified Network Defender).

En toda nuestra trayectoria corporativa, contamos con importantes premios y reconocimientos:

• Premio a la propuesta de última generación en ciberseguridad, de la revista SIC (Ediciones CODA).

• Trofeo de la Seguridad TIC, de Red Seguridad.

• TOP Digital Forensics Technology Consulting Services in Europe, de Enterprise Security.

• Most Valuable Professional (MVP), de Microsoft.

• BIND 4.0 Startup, del Basque Industry 4.0 Accelerator Program.

• XXX Edición Premios Cuidad de Móstoles.

Tu seguridad empieza hoy ¿Te ayudamos? Llámanos y hablamos

Puedes ampliar detalles sobre nuestros servicios visitando la página de Zerolynx

Si lo prefieres, contáctanos y hablamos.

¿El término "GRC" te suena a chino?

¿Tu empresa cumple con las normativas, leyes, reglamentos y estándares en materia ciberseguridad y protección de datos?¿Sabes si está obligada a cumplir con ellas, o con alguna de ellas en concreto, debido a la actividad y el sector en el que se enmarca la organización?

Si eres una empresa te conviene tener muy claros estos tres conceptos, y aplicarlos en el día a día del desarrollo de la actividad de la compañía, en lo que se refiere a su organización y gestión:

• Gobierno corporativo o gobernanza: es el conjunto de principios, normas y procedimientos que establecen cómo deben funcionar los diferentes órganos de la empresa (los órganos de gobierno) para dirigirla y gestionarla.

• Riesgos: es la probabilidad de que ocurra una situación no deseada que tenga un impacto o produzca un daño, tanto en una empresa como en cualquier otro ámbito.

• Cumplimiento: es la acción por la que se desempeñan, implementan y llevan a cabo debidamente, diferentes medidas, normas, o leyes, establecidas de antemano, específicamente destinadas al sector y tejido productivo de la empresa.

Pensando en el mundo digital, en el terreno de las Tecnologías de la Información (TI, IT, TIC), teniendo en cuenta estas definiciones, los tres conceptos se trasladan de forma similar:

• Gobierno TI o Gobierno IT: es el conjunto de principios, normas y procedimientos que establecen y rigen cómo deben funcionar los diferentes sistemas de información, para que éstos den servicio y se alineen con el negocio y la estrategia corporativa.

• Riesgos: probabilidad de que ocurra una situación no deseada que, en el caso las tecnologías de la información, consistirá en un incidente informático, o ciberincidente, que puede producir un impacto negativo en el negocio, e incluso que este se tenga que detener.

• Cumplimiento o “compliance”: consiste en la conveniente implementación y cobertura de estándares, frameworks, reglas, reglamentos, decretos y leyes que, en materia de sistemas digitales, tecnologías de la Información, seguridad, privacidad y ciberseguridad, se deben llevar a cabo en la empresa, de forma recomendable e incluso obligatoria.

Algunas normas, normativas, estándares, regulaciones y leyes de las que seguro has oído hablar, en lo que a materia de IT y ciberseguridad se refiere, pueden ser:

• RGPD/GDPR (Reglamento General de Protección de Datos).

• LOPD (Ley Orgánica de Protección de Datos).

• LOPDGDD (Ley Orgánica de Protección de Datos y Garantías de los Derechos Digitales).

• LSSICE (Ley de Servicios de la Sociedad de la Información y Comercio Electrónico).

• LGC (Ley General de Comunicaciones).

• LGT (Ley General de Telecomunicaciones).

• ENS (Esquema Nacional de Seguridad).

• NIST (Marco de Ciberseguridad del National Institute of Standards and Technology).

• CIS (controles del Center for Internet Security).

• SGSI (Sistema de Gestión de la Seguridad de la Información).

• ISO 27001 (norma o estándar internacional para el establecimiento de un SGSI).

• ISO 27701 (norma o estándar internacional para la gestión de la privacidad y el cumplimiento del RGPD).

• ISO 22301 (norma o estándar internacional para la gestión de la continuidad de negocio).

En cualquier caso, conviene aclarar que las leyes son de obligado cumplimiento, mientras que los estándares de la industria, las normas y las normativas, son recomendaciones y referencias para favorecer el cumplimiento la gestión y el cumplimiento legal.

Pero, ¿Cómo saber si estamos obligados a cumplir con alguna de ellas? La respuesta no es “blanco o negro”. Depende de muchas cosas y de cada caso, de cada empresa, de cada tipo de empresa, de a qué se dedique, de cómo lo haga y de qué tipo de activos de información gestione o manipule, cómo lo haga y el grado de sensibilidad o confidencialidad de los mismos, si comercializa online (si tiene tienda online), en qué país resida y/u opere, etc.

Y, por otro lado, ¿Cómo podemos saber si ya cumplimos, o no (y qué puede faltar para conseguirlo), con determinadas normativas, reglamentos y leyes? En este caso, lo primero es analizar la situación, conocer el estado de los sistemas, procesos, activos y recursos al respecto. Esto se consigue mediante la realización de auditorías, de cumplimiento normativo o legal, específicas para cada caso.

Una vez realizada la auditoría, estaremos en condiciones de cumplirlas basándonos en el establecimiento de determinados controles, actividades o acciones sobre los elementos que se hayan identificado como no conformidades de cumplimiento en el caso que nos ocupe.

En el caso de nuestro servicio de GRC, nos encargamos tanto de la gobernanza, como de la gestión de riesgos, como del cumplimiento, haciendo lo siguiente:

• En base a las necesidades y los objetivos que se establezcan, realizamos un análisis de la situación, desde el punto de vista del grado de madurez en ciberseguridad con el que cuenta la empresa.

• Se determina un objetivo de grado de madurez que lograr y, por ende, el alcance y la planificación de actividades.

• Se define el modelo de GRC a implantar basado en el marco normativo deseado.

• Se determinan los mecanismos y herramientas a utilizar.

• Se prepara y entrega un informe con el modelo de GRC implantado y recomendaciones.

• Presentación de resultados.

¿Quieres que auditemos tu empresa con respecto al cumplimiento en materia de ciberseguridad?

Puedes ampliar detalles sobre nuestros servicios de Servicios GRC visitando la página de Zerolynx.

Si lo prefieres, contáctanos y hablamos.

Zerolynx participa en el IV Congreso de Auditoría & GRC de ISACA

  

En plena aceleración del proceso de digitalización ¿Estamos preparados para una caída prolongada de los grandes proveedores tecnológicos? ¿Qué medidas adoptan las infraestructuras críticas para garantizar la continuidad de los servicios esenciales? ¿Cómo identifican, valoran y abordan nuestras empresas e instituciones los riesgos sistémicos? Estas son algunas de las cuestiones que serán tratadas en el IV congreso de Auditoría y GRC, que tendrá lugar los próximos días 4, 11 y 18 de marzo, donde la temática general versará sobre las grandes amenazas a las que estamos expuestos en los tiempos actuales, de gran dinamismo y complejidad.

El pasado mes de febrero, desde Zerolynx firmamos una alianza con el capítulo de ISACA Madrid para ser uno de sus partners para todo 2021. Dentro de esta alianza, Zerolynx colaborará de forma activa con la comunidad ISACA, patrocinando diferentes eventos, participando en congresos y generando y compartiendo contenido con el que enriquecer a todos sus asociados. 

Una de las primeras colaboraciones entre Zerolynx e ISACA de 2021 transcurrirá en el IV congreso de Auditoría y GRC, donde Zerolynx se incorpora como patrocinador bronce y coordinará una interesante mesa de debate titulada "Grandes riesgos, vector proveedores". Tendrá lugar el 11 de marzo a las 18:50h, y en ella participarán varios actores de gran relevancia para nuestro sector:

• Jorge Pérez, Responsable de Auditoría de Mutua.
• Antonio Ramos, CEO y socio fundador de LEET Security.
• Enrique Salgado, Global IT Manager de Cabify.
• Modera: Juan Antonio Calles, CEO y socio fundador de Zerolynx.

En esta jornada tendremos el placer además de escuchar la Keynote "Securing ecosystems in an era of rapid transformation" de Chris Dimitriadis, tras la presentación de la presidenta Vanesa Gil.

La inscripción es totalmente gratuita para los asociados al capítulo de Madrid, y se entregarán 2,5 créditos CPE para todos los asistentes.

Más información en:

https://engage.isaca.org/madridchapter/eventos/audgrc