Consultoría - Grupo Intec Soluciones

Auditoría De Sistemas Críticos

Auditoría Exploratoria

Ronda de Entrevistas con el personal técnico de la Empresa y el área de Auditoría.
Definición en consenso de los Sistemas críticos a analizar.
Instalación de Sistemas en ambiente de Prueba (de ser Posible).
Ronda de Entrevistas con Todas las unidades y usuarios del Sistema.

Análisis de Plataforma

Análisis Estructural: Herramientas de Desarrollo, Bases de Datos, Ambiente de Ejecución y soporte físico de Hardware y Servidores.
Análisis de Estrategias de seguridad de Datos: Respaldos, Cintas, Rotación, Restauraciones y conocimiento no restrictivo del Procedimiento respetando las políticas adecuadas y mejores prácticas.

Pruebas Funcionales De Integridad Basadas en el Análisis

Pruebas funcionales en ambiente de Prueba sobre los módulos “Implementados” de las aplicaciones para medir sus características funcionales.
Verificación de Validaciones y sus incidencias.
Análisis de Bases de Datos y Logs de Auditoría.
Chequeo en ambiente distribuido bajo distintas condiciones (Redes y Ejecución Remota).
Análisis de Agilidad, rapidez y Comportamiento, incluyendo Roll Back.

Análisis de Soluciones Alternativas

Evaluación, Contraste y recomendaciones.

Ronda de Entrevistas con el personal técnico de la Empresa.
Revisión Detallada del Esquema de Telecomunicaciones, Enlaces, Internet y Telefonía.
Revisión Detallada de Equipamiento (Servidores, Pc`s, Laptops), esquemas de Virtualización (Si Existen) y Conexión Remota.
Revisión Detallada de la Plataforma de Impresión.
Revisión Inicial del Esquema General de Seguridad de Datos, incluyendo esquemas de Respaldos Seguros, Encriptación, VPN, Sistemas Antivirus-AntiSPAM, Firewall-IDS, Backup Eléctrico (UPS y Autonomía eléctrica) y Sistemas de VideoVigilancia. Punto Crítico: Revisión de las implementaciones a nivel de Continuidad del Negocio (BCP-DRP).
Revisión Particular sobre el Esquema de Correo Electrónico, Intranet-Extranet , Página Web y Hospedaje.
Revisión detallada de la Situación Actual de Licenciamiento de Software y Contratos de mantenimiento sobre Aplicaciones y Equipos. Análisis de Compras e Inversión Tecnológica.
Análisis Varios a nivel de Infraestructura: Cableado, Racks, Acondicionamiento de Salas de Cómputo, etc.
Análisis detallado de Madurez de los Procesos tecnológicos, orientados en principio a: Estructura del área Tecnológica, Esquemas de HelpDesk y Gestión de Incidentes, Control de Cambios Tecnológicos, Control de Versiones, Capacity Planning recurrente (evaluación de Equipamiento), Control de Proveedores Tecnológicos, Comité de Tecnología, Plan de Adiestramiento, Formalización y Documentación técnica, Inventarios Tecnológicos y Manejo de Bases de Datos.
Evaluación, Contraste y recomendaciones.

Auditoría Infraestructura Tecnológica, Seguridad De Datos Y Procesos Tecnológicos

Prestación de Servicios Profesionales de Consultoría, por parte de Grupo Intec Soluciones C.A., para el desarrollo de un Plan de Continuidad de negocio (PCN), o por su nombre en inglés Business Continuity Plan (BCP), dejando claro que el PCN/BCP incluye tanto las estrategias que garanticen la operatividad dentro de contingencias locales, como también los mecanismos para afrontar la recuperación en caso de desastres, que incluso pudieran ameritar el levantamiento de servicios en localidades alternas, referidas tanto a procesos críticos de negocio como a los servicios e infraestructura tecnológica que los Soportan.

Las organizaciones están conscientes de la importancia de mantener la prestación de servicios de forma ininterrumpida, atendiendo las operaciones críticas sin afectar su cotidianeidad, aún en situaciones que pudiesen impactar al personal o instalaciones en donde se ejecuta algún proceso crítico. Para ello, se debe mantener una condición operativa y de servicios capaz de soportar el crecimiento, expansión de negocios, volumen de operaciones y eventos que puedan afectar la capacidad de entrega de servicios a los clientes de la Organización. El objetivo de estos proyectos es definir y documentar la organización y las acciones a tomar antes, durante y después de una situación crítica para asegurar una aceptable recuperación de los procesos vitales de negocio.

Planes de Continuidad del Negocio (BCP) y Recuperación de Desastres (DRP).

Planes Estratégicos De Tecnología (Peti)

Con el paso del tiempo, muchas prácticas se han generalizado en respuesta a problemas y oportunidades compartidas en el negocio. Las organizaciones prestadoras de servicios pueden comparar sus capacidades, detectar las brechas y cerrarlas asumiendo las mejores prácticas en uso y de esta forma mostrarse como empresas competitivas en el mercado. Sin embargo, es evidente que la mayor inversión debe hacerse en la organización de la funcionalidad crítica, y en este sentido las organizaciones reconocen que la existencia de un Plan Estratégico de Tecnología de la Información (PETI) es fundamental para contribuir en la generación de valor a todo nivel y obtener el máximo beneficio en el desarrollo de sus actividades. El PETI es una consecuencia necesaria de Soporte al Plan Estratégico de las organizaciones, razón por la cual se convierte en un requerimiento de cumplimiento obligatorio bajo algunas regulaciones. El PETI debe ser un esquema tecnológico aprovechable al máximo, dirigiendo la perspectiva gerencial de lo operativo a lo estratégico, soportando los objetivos y metas del negocio y alineando estratégicamente la tecnología a los planes fundamentales de la organización.

Sistemas de Gestión de Riesgo Tecnológico. Cumplimiento Normativo

La gestión de riesgo contempla dentro de su marco de acción, el manejo eficaz de los recursos propios y de terceros de las organizaciones, con el fin de contribuir en la generación de valor en todos los niveles y obtener el máximo beneficio en el desarrollo de sus actividades, disminuyendo el impacto que podrían ejercer sobre la viabilidad económica del negocio, los diferentes riesgos operacionales y tecnológicos a los que está expuesto. El marco de trabajo para este tipo de proyectos, se desprende de la unificación de las mejores prácticas en materia de Procesos, Tecnología, RRHH y entorno, con el fin de identificar todo aquello que impida el desenvolvimiento del día a día de la operatividad de la organización generando como consecuencias perdidas en el patrimonio de la organización.

El Sistema de Gestión de Seguridad de la Información “SGSI” tiene el propósito de garantizar que los riesgos de la seguridad de la información sean conocidos, asumidos, gestionados y minimizados por la organización de una forma documentada, sistemática, estructurada, repetible, eficiente y adaptada a los cambios que se produzcan en los riesgos, el entorno y las tecnologías.

Es importante destacar que el “SGSI” se construye adaptado a las mejores prácticas, y específicamente en la Norma ISO 27001.

Es necesario contribuir en la generación de valor en todos los niveles de la organización y obtener el máximo beneficio en el desarrollo de sus actividades, protegiendo los activos ajustados a la norma ISO 27001, la cual está orientada a definir la gestión de seguridad de la información, protegiendo permanentemente la información corporativa para reducir al mínimo los riesgos sobre confidencialidad, integridad y disponibilidad de la misma.

El desarrollo del SGSI está alineado a las directrices de la norma ISO/IEC 27001, implementando los controles necesarios en el proceso de valoración y tratamiento de riesgos. La norma está dividida en 11 dominios de control, 39 objetivos y 133 controles. Los dominios presentados abarcan: política de seguridad, organización de la seguridad de la información, gestión de activos, control de acceso, seguridad de los recursos humanos, cumplimiento, seguridad física y del entorno, adquisición, desarrollo y mantenimiento de sistemas de información, gestión de las comunicaciones y operaciones, gestión de la continuidad del negocio y gestión de incidentes de seguridad de la información.

Sistema De Gestión De Seguridad De La Información (Sgsi)