Seguridad y privacidad de información

Se define una metodología de gestión TI que permita guiar en la manera de administrar y ejecutar los diversos proyectos de tecnología en la compañia.

El objetivo principal es definir los lineamientos y directrices que se deben seguir por parte los colaboradores y terceros, con el fin de garantizar la disponibilidad, integridad y confidencialidad de la información.

Los objetivos específicos correspondientes a:

  • Minimizar el riesgo de los procesos misionales de la compañía.
  • Cumplir con los principios de seguridad de la información.
  • Mantener la confianza de los funcionarios, contratistas y terceros.
  • Implementar el sistema de gestión de seguridad de la información.
  • Proteger los activos de información.
  • Establecer las políticas, procedimientos e instructivos en materia de seguridad y privacidad de la información.
  • Fortalecer la cultura de seguridad de la información en los funcionarios, terceros y clientes.
  • Garantizar la continuidad del negocio frente a incidentes.

Aspectos

Se evalúan diferentes aspectos que permiten tener un control sobre la seguridad y privacidad de los diferentes productos:

  • Inventario de activos: el inventario de activos conforma el primer elemento de la cadena en un sistema de gestión de la seguridad de un sistema. Un inventario de activos se define como una lista de todos aquellos recursos (físicos, software, documentos, servicios, personas, instalaciones, etc.) que tengan valor para la organización y necesiten por tanto ser protegidos de potenciales riesgos.
  • Configuración de seguridad: determina cómo se maneja la configuración de seguridad de las computadoras portátiles, los servidores y las estaciones de trabajo utilizando un riguroso proceso de gestión de configuración y control de cambios para evitar que los atacantes exploten servicios y configuraciones vulnerables.
  • Evaluación Vulnerabilidad: muestra cómo la compañía actúa continuamente sobre la información para identificar vulnerabilidades, remediar problemas y minimizar la ventana de oportunidad para los atacantes.
  • Malware Protection: se trata de cómo se controla el software malicioso diseñado para atacar sistemas, dispositivos o datos, incluidos virus, troyanos, malware, gusanos y otras amenazas cibernéticas que se mueven rápidamente y cambian rápidamente. cantidad de puntos como dispositivos de usuario final, archivos adjuntos de correo electrónico, páginas web, servicios en la nube, acciones del usuario y medios extraíbles.
  • Seguridad de Aplicación: muestra cómo gestiona el ciclo de vida de seguridad del software interno desarrollado y adquirido para prevenir, detectar y corregir las debilidades de seguridad.
  • Seguridad de red: explica cómo ALTO protege el acceso a la red y aísla los sistemas de redes no confiables.
  • Recuperación de datos: cuenta cómo ALTO ha establecido procesos y ha aprovechado las herramientas para hacer una copia de seguridad adecuada de la información y los sistemas críticos con una metodología probada para la recuperación oportuna.
  • Gestión de identidad, contraseñas y acceso: explica cómo ALTO gestiona el ciclo de vida de las cuentas del usuario final y del sistema para minimizar las oportunidades para que los atacantes las aprovechen.
  • Registro de auditoría: informa cómo ALTO recopila, gestiona y analiza activamente los registros de auditoría de eventos que podrían ayudar a detectar, comprender o recuperarse de un ataque.
  • Protección de datos: muestra cual es el enfoque organizacional de ALTO para evitar la filtración de datos y garantizar la privacidad, confidencialidad e integridad de los datos que residen tanto interna como externamente en su organización, incluidos los proveedores de la nube que pueden almacenar datos del sistema.
  • Test de penetración: informa comó ALTO realiza pruebas de penetración basadas en la red y / o en la aplicación para determinar la fuerza / debilidad general de sus defensas.
  • Instalaciones y seguridad física. muestra cómo ALTO implementa medidas de seguridad física en todas las instalaciones para proteger los activos, incluidas las personas, los bienes y la información relacionados con la aplicación.
  • Eliminación de datos: muestra cómo ALTO garantiza la eliminación de los datos en caso de solicitud del cliente o en caso de término de contrato.
  • Defensa de límites: determina cómo se evitan los asaltos en contra de las redes de infraestructura crítica mediante perímetros de defensa.
  • Respuesta al incidente
  • Programa de seguridad de la información
  • Habilidades y Entrenamiento
  • Protección de datos
  • Transferencia de datos
  • Monitoreo
  • Continuidad del negocio, DRP
  • Manejo de dominios

Documentación

Se manejan diferentes documentos que contiene la información para garantizar la seguridad en los diferentes sistemas, los cuales puede consultar con el Oficial de seguridad de la información.

    Cuestionarios

    Basada en las necesidades de los clientes se cuenta con un cuestionario base que tiene las preguntas y respuestas frecuentes sobre la seguridad, además, guardamos un histórico de los cuestionarios personalizados por clientes.

    Mas información

    Auditorías de seguridad

    De manera periódica se ejecutan auditorías de seguridad a los diferentes productos con el fin de detectar y solucionar las posibles vulnerabilidades

    Mas información

    Auditorías de disponibilidad

    De manera periódica se ejecutan auditorías para detectar y registrar caídas a los diferentes productos.

    Mas información