Seguridad de información

CINTEL acompaña al cliente en las fases del ciclo PHVA del Sistema de Gestión de Seguridad de la Información – SGSI, conforme a la norma ISO/IEC 27001 y alineado con las mejores prácticas internacionales, de manera que se cumplan los requisitos que permitan al cliente conseguir la certificación en dicha norma.

Ethical hacking

CINTEL pone a disposición del sector el servicio de Ethical Hacking, a través del cual es posible detectar el nivel de seguridad de los sistemas de información internos o externos en una organización, con el fin de lograr determinar el grado de acceso que tendría un atacante con malas intenciones a los sistemas informáticos con información crítica o valiosa para la organización.

Con base en las metodologías internacionalmente reconocidas referentes a pruebas de penetración en redes, sistemas operativos y aplicativos: OWASP  y OSSTMM,  y sumado a la experticia de sus consultores en seguridad informática, CINTEL realiza pruebas de penetración controladas como un paso inicial para el análisis de fallas, falencias y riesgos de seguridad de una organización, con el fin de comprobar y clasificar las vulnerabilidades y permitir realizar una análisis de las mismas con el fin de valorar el impacto que estas tengan sobre la organización.

SGSI

La amplia experiencia de CINTEL, le permite ofrecer un SGSI alineado al modelo de negocio del cliente y los requerimientos de seguridad de la organización, el cual toma como referencia la estrategia de seguridad de la información definida por Gobierno en línea, en la cual CINTEL participó activamente.

Para lograr lo anterior, CINTEL ofrece:

En la fase de Planeación:

  1. Diagnóstico de seguridad de la información que permita identificar las brechas en los controles de seguridad de la organización con respecto a las exigidas en la norma ISO/IEC 27001 y la normatividad nacional.
  2. Evaluación de los riesgos presentes en los activos de información de acuerdo a una metodología de análisis de riesgo.
  3. Plan de mitigación para los riesgos no aceptados por la organización, el cual estará alineado con el modelo de negocios del cliente y que impacte directamente los controles de seguridad exigidos por la norma ISO/IEC 27001.
  4. Plan de Seguridad de la Información que incluye la definición de una declaración de aplicabilidad, la política SGSI, la matriz de riesgos y el plan de acción con la formulación de proyectos en seguridad de la información.
  5. Pruebas de penetración de acuerdo a las metodologías OSSTMM y OWASP.

En la fase de Implementación:

  1. Acompañamiento al cliente en la implementación de los proyectos definidos en el plan de acción de la fase anterior.
  2. Ayuda en el proceso de definición del RFP para la contratación de bienes y servicios.
  3. Asistencia en el proceso de evaluación y selección de proveedores.
  4. Asesoría en la supervisión o interventoría de los proyectos contratados.

En la fase de Verificación:

  1. Comprobación de la operación efectiva de los controles de seguridad implementados en la fase anterior, conforme la norma ISO/IEC 27001, a través de técnicas de medición, agregación, evaluación y presentación.
  2. Pre-auditoria al SGSI implementado.

En la fase de Actuación:

  1. Consolidar la evaluación de los controles auditados.
  2. Proponer la realización de los correctivos, basados en un proceso de aprendizaje continuo.
  3. Acompañamiento en las actividades de certificación del SGSI según la norma 27001.