Gobierno de la Ciberseguridad

Una estrategia basada en el conocimiento y en la organización
Más información

SERVICIOS GRC (Gobernanza, Riesgo y Cumplimiento)

 

ESQUEMA NACIONAL DE SEGURIDAD (ENS)

  • Diagnóstico de cumplimiento (GAP)
  • Plan de adecuación y apoyo a la implantación de la seguridad
  • Análisis de riesgos y plan de tratamiento (MAGERIT v3)
  • Formación y concienciación
  • Vigilancia y mejora continua
  • Auditoría Interna y acompañamiento a la certificación

DIRECTIVA 2022/2555 (NIS 2)

  • Análisis y Gestión de riesgos (MAGERIT v3 / ISO 31000)
  • Gestión de crisis y continuidad del negocio
  • BIA y Plan de continuidad de negocio (garantía de resiliencia y cadena de suministro)
  • Proceso de gestión y notificación de incidentes
  • Ciberhigiene, formación y concienciación

ISO 27001

  • Diagnóstico de cumplimiento (GAP)
  • Análisis de riesgos y plan de tratamiento (MAGERIT v3 / ISO 31000)
  • Plan Director de Seguridad y apoyo a la implantación de la seguridad
  • Formación y concienciación
  • Vigilancia y mejora continua
  • Auditoría Interna y acompañamiento a la certificación

INFRAESTRUCTURAS CRÍTICAS (LPIC)

  • Elaboración y actualización del Plan de Seguridad del Operador (PSO) y actualización periódica
  • Elaboración y actualización del Plan de Protección Específico (PPE) de las infraestructuras críticas
  • Implantación y monitorización de controles

PROTECCIÓN DE DATOS PERSONALES

  • Informe de cumplimiento (GAP RGPD – LOPDGDD)
  • Apoyo en la redacción de textos legales y contratos
  • Implantación de protocolos relacionados con la normativa
  • Servicio de externalización del DPD
  • Apoyo y asesoramiento en materia de protección de datos
  • Formación sobre protección de datos personales

 

Preguntas Frecuentes

  • ¿Qué es un análisis de riesgos de ciberseguridad?

    Un análisis de riesgos de ciberseguridad es un proceso que identifica y evalúa los riesgos potenciales que enfrenta una empresa o una organización en términos de seguridad de la información y las tecnologías de la información y la comunicación (TIC).

  • ¿Qué tipo de riesgos pueden identificarse mediante un análisis de riesgos de ciberseguridad?

    Un análisis de riesgos de ciberseguridad puede identificar una amplia gama de riesgos, incluyendo los riesgos de seguridad de la información, los riesgos de privacidad de datos, los riesgos de fraude en línea, los riesgos de interrupción del negocio y los riesgos de cumplimiento normativo.

  • ¿Qué elementos incluye un Plan Director de Seguridad?

    Un Plan Director de Seguridad puede incluir una amplia gama de elementos, como la identificación de activos críticos, la evaluación de los riesgos de seguridad, la definición de políticas y procedimientos de seguridad, la implementación de controles de seguridad, la gestión de incidentes de seguridad y la formación del personal en seguridad de la información.

  • ¿El cumplimiento del ENS es obligatorio para todas las organizaciones?

    El cumplimiento del ENS es obligatorio para todas las organizaciones que manejan información y servicios electrónicos en el ámbito de la Administración Pública. Esto incluye organismos gubernamentales, empresas privadas que prestan servicios a la Administración y otras entidades que gestionan datos sensibles. El ENS establece directrices claras para la seguridad de la información, la protección de datos y la gestión de riesgos.

  • ¿Cuál es la importancia de la gestión de riesgos en el marco del ENS?

    La gestión de riesgos es fundamental en el marco del ENS. Permite identificar, evaluar y mitigar los riesgos asociados a la seguridad de los sistemas y datos electrónicos. Al adoptar un enfoque proactivo, las organizaciones pueden implementar medidas adecuadas para prevenir incidentes de seguridad y garantizar la confidencialidad, integridad y disponibilidad de la información. La gestión de riesgos también ayuda a priorizar inversiones en seguridad y a mantener un equilibrio entre la funcionalidad y la protección.

  • ¿Qué sectores incluye la Directiva NIS2?

    La NIS2 abarca un total de 18 áreas críticas como energía, transporte, salud y servicios financieros. Estos sectores deben cumplir con las medidas de seguridad especificadas en la directiva.

  • ¿Qué obligaciones tendrán las entidades afectadas bajo NIS2?

    Las entidades dentro del alcance de la NIS2 deben adoptar medidas de gobernanza, gestión de riesgos, notificación de incidentes de ciberseguridad y utilizar esquemas europeos de certificación para garantizar la seguridad de sus servicios digitales.

  • ¿Cuánto tiempo se tarda en obtener la certificación ISO 27001?

    El tiempo necesario para obtener la certificación ISO/IEC 27001 varía según la complejidad de la organización, su compromiso y recursos disponibles. Por lo general, el proceso implica varias etapas, como la preparación, la implementación y las auditorías. Puede llevar desde unos pocos meses hasta más de un año, dependiendo de estos factores.

  • ¿Quién puede emitir la certificación ISO 27001?

    La certificación ISO/IEC 27001 es emitida por organismos de certificación acreditados. Estos organismos realizan auditorías independientes para evaluar si la organización cumple con los requisitos de la norma. Algunos ejemplos de organismos de certificación incluyen EQA, AENOR, Bureau Veritas, Cámara Certifica, entre otros.

    Solicita más información

    Si necesitas contactar con nosotros puedes rellenar formulario a continuación. Nos pondremos en contacto contigo lo antes posible.