Metodología de la consultoría:
Estudio de la situación actual en Seguridad de la Información
El objetivo será entender y evaluar la situación global en cuanto a Seguridad de la Información existente , siendo esto de utilidad para cada una de las siguientes fases.
Análisis Técnico de Seguridad
Auditoría de la infraestructura y seguridad de la organización de manera que se genere un informe con hallazgos, observaciones y oportunidades de mejora que apoyen la toma de decisiones en el resto de las fases del Plan de Seguridad.
El objetivo de estos test de penetración será identificar y comprobar las vulnerabilidades de los sistemas de protección de la organización y así poder generar a posteriori un plan de mitigación de brechas de seguridad.
Cuadro de Mandos de Ciberseguridad
En este apartado, con toda la información recabada hasta el momento, el objetivo será generar un Cuadro de Mandos que represente el grado de madurez en cuanto a ciberseguridad en ese momento determinado.
Esto permitirá tener una base sobre la que medir y comparar en el tiempo el grado de madurez de los controles de seguridad.
Toshiba propone realizarlo mediante la utilización del framework de los Controles CIS (Center for Internet Security).
Recomendaciones de mejora
Apoyado en el conocimiento del entorno de ciberseguridad y sus debilidades que, llegados a este punto, tendrá Toshiba, se definirá un plan de actuación para resolver las deficiencias encontradas.
Toshiba realizará las recomendaciones que considere oportunas conociendo tanto la situación actual como el contexto de la compañía.
La Consultoría se dimensiona de acuerdo con el número de servicios a auditar.
Ejemplos de servicios:
Aplicación Web o en la Nube
Aplicación móvil
Sistema ERP
Sistema CRM
VoIP
Correo electrónico
Copias de Seguridad
Servidores de Archivos
Servidores de BBDD
Control de accesos RFID
Red WIFI
Sistema de Help Desk
Ordenadores de Usuarios (Windows, Linux, MAC)
El resultado de todas las actividades y fases anteriores se plasmará en un documento que recoja la siguiente información:
Es importante hacer un análisis de la seguridad actual.