Seguridad de los sistemas de información

La complejidad no debe ser un freno para la seguridad de sus sistemas de información
Sécuriser vos systèmes d'information contre toutes les menaces

Ayudarle a asegurar su capital económico

Independientemente de su ámbito de actividad, sus datos deben considerarse como un elemento clave de su rendimiento. Deben estar accesibles siendo confidenciales. Saber proteger ese capital, es saber anticipar y actuar a diferentes niveles de su organización.

La ciberseguridad reviste un carácter ineludible en cuanto exista un patrimonio de información de valor que requiera una protección.

La seguridad de la SI según Scalian

Definir los objetivos y la estrategia

Garantizar la seguridad de sus sistemas de información: ¿qué desafíos?

En la era de la digitalización, es natural que esta protección dependa a primera vista de la responsabilidad de los actores del sector digital únicamente. Sin embargo, la transformación digital requiere la elaboración de una estrategia a escala de las organizaciones y, por tanto, bajo los auspicios de las direcciones. Efectivamente, la seguridad permite jugar con incentivos de posicionamiento de mercados, garantizar la perennidad de los dispositivos digitales y, por tanto, la resiliencia de las organizaciones. Por consiguiente, la seguridad debe dirigirse al conjunto de su ciclo de vida en el seno de las organizaciones.

Los incentivos de las oportunidades
La confianza en el ecosistema en el que evoluciona la organización y que permite:

  • desmarcarse de la competencia dirigiéndose a un segmento de mercado más extenso, en particular de cara a clientes que tengan una fuerte sensibilidad a la seguridad,
  • aprehender mejor el contexto reglamentario y legislativo, basándose en un dispositivo de gestión de la seguridad adaptado a las evoluciones de las leyes estándares,
  • trabajar en un clima de confianza que permita asegurar las relaciones con los socios y proveedores, basándose en un conjunto de procesos, métodos y herramientas que permitan compartir los desafíos e industrializar la puesta en marcha de los objetivos asociados. La finalidad es permitir el pilotaje del ciberriesgo relacionado con los aprovisionamientos y la subcontrata.

Garantizar el rendimiento financiero y operativo
En el seno de las organizaciones, es corriente cuestionar los rendimientos de los procesos internos y externos.
Sin embargo, la seguridad se escapa a menudo de este ejercicio de optimización por temor a que una reducción de medios genere mecánicamente un impacto negativo en el nivel de seguridad de la empresa.

Scalian propone explotar incentivos disponibles regularmente en el seno de los dispositivos de seguridad que permitan bien alzar el nivel de seguridad sin impacto en los costes, o bien optimizar los costes sin degradación de los rendimientos.

La metodología de Scalian en términos de optimización del rendimiento cibernético se estructura en torno a 2 apartados:

  • apartado técnico: la eficacia del dispositivo de cara al nivel de protección esperado, es decir de cara a la visión cualitativa del ciberriesgo
  • apartado económico: la duración del ROI de cara al coste del dispositivo, frente a la visión cuantitativa del ciberriesgo

Implementar la acción de seguridad

Asegurar un buen nivel de seguridad requiere la creación de un dispositivo que permita garantizar el pilotaje y el control de los esfuerzos de seguridad de acuerdo con el sistema de gestión de la organización.

Ello requiere asimismo controlar la implementación de la seguridad desde un punto de vista técnico en el seno de los programas y proyectos de la empresa. Es pues necesario considerar los siguientes objetivos:

  • en un contexto de proyecto: asegurar la correcta implementación de la seguridad en el seno de los proyectos durante su fase de «build»
  • en un contexto más global: asegurar la correcta gobernanza, gestión y pilotaje del esfuerzo de seguridad en el seno de la organización

Scalian propone acompañar a sus clientes a través de las siguientes temáticas:

Gobernanza y gestión SSI:

  • Acompañamiento a la definición de un Sistema de Gestión de la Seguridad de la Información (SGSI)
  • Despliegue de un Plan de Garantía de Seguridad que permita enmarcar la implementación de la seguridad en los proyectos y al nivel de la Supply Chain
  • Realización de auditorías organizacionales y controles para garantizar el rendimiento de la dirección y la conformidad con los objetivos y referenciales aplicables

Gestión y análisis de riesgos SSI:

  • Establecimiento de la cartografía de los riesgos SSI relacionados con los riesgos operativos
  • Dirección y gestión de los riesgos SSI a lo largo de todo su ciclo de vida (ERM)
  • Personalización de metodologías de análisis de riesgos SSI adaptada a las especificidades de los contextos de los clientes

Implementación de la seguridad en el seno de los programas y proyectos:

  • Security by Design: implementar la seguridad a partir de las fases de arquitectura con ayuda de Design Patterns, con el fin de reducir el coste recurrente de las funciones de seguridad.
  • Secure Coding: sensibilizar a los desarrolladores y analizar el código fuente con el fin de reducir el riesgo de introducción de vulnerabilidad durante la fase de desarrollo.
  • V&V seguridad: establecer y desplegar una estrategia de pruebas de seguridad funcionales y técnicas completada por una fase de evaluación específica dirigida a evaluar la robustez de los desarrollos de cara a los ataques.
  • Homologaciones y dossieres de seguridad: definir e implementar un plan de desarrollo de seguridad en el seno de los proyectos dirigidos a garantizar la trazabilidad de los riesgos y objetivos de seguridad a lo largo de toda la fase de build, especialmente con una finalidad de homologación o de certificación SSI.

Ejecutar la seguridad
La seguridad operativa constituye la última fase del ciclo de vida SSI. Está constituida de un conjunto de procesos operativos desplegados y realizados cotidianamente, con la finalidad de reducir la superficie de exposición técnica del SI a las amenazas y ataques, y de mantener el nivel global de seguridad del SI.

El conjunto de procesos de seguridad operativa direcciona 2 tipologías de activos:

  • en un contexto de proyecto: mantener el nivel de seguridad de los proyectos durante la fase de «run» de su ciclo de vida,
  • en un contexto más global: realizar el mantenimiento en condición de seguridad del conjunto del sistema de información que constituye el zócalo técnico común que alberga los procesos digitalizados de la empresa.

Para ejecutar la seguridad, Scalian le acompaña en diferentes temáticas:

Mantenimiento en Condiciones de Seguridad (MCS):

  • Patch management
  • Vulnerability management

Detección de los incidentes:

  • SOC Analysts (N1, N2, N3)
  • Threat intelligence
  • Vulnerability assessment

Gestión de crisis:

  • Respuesta a incidente y remediación
  • Soporte a la gestión de crisis
  • Forensics

Auditorías y evaluaciones técnicas: 

  • Pruebas de intrusión
  • Auditoría de arquitectura
  • Auditoría organizacional y física

Servicios gestionados:

SOC Scalian : Scalian propone asimismo su SOC MSSP para gozar de una función de detección de incidentes de seguridad completa en forma de servicios gestionados.

CERT Scalian : El CERT Scalian ofrece una solución de respuesta a incidente en forma de catálogo de servicios y paquetes de servicios. El CERT tiene vocación de aportar funciones de vigilancia y gestión en vulnerabilidad, threat intelligence, incident response e I+D con la finalidad de mejorar los resultados de detección de SOC.

Contacte a nuestros expertos
Nuestros especialistas están a su disposición para hablar de sus necesidades y de cómo puede trabajar con nosotros para desarrollar su potencial.

Thierry Harmand

Information Security Consultant

Libere su potencial con Scalian

Formar parte de Scalian es únirse a mujeres y hombres apasionados. Desarrolle su personalidad en una organización en la que la profesionalidad y el espíritu empresarial van de la mano de la amabilidad y el cuidado.

Trouver votre vocation en rejoignant Scalian