Gobierno, Riesgo y Cumplimiento
Las empresas deben afrontar los desafíos de manera global y diseñar estrategias que conecten todas las necesidades en materia de ciberseguridad.
Armar un conjunto de protocolos, guías y buenas prácticas que fortalezcan la organización y le permitan proteger eficazmente sus datos e infraestructuras es un objetivo prioritario.
Las Buenas Prácticas de GRC (Gobierno, Riesgo y Cumplimiento) establecen el marco para la mejora de la ciberseguridad de las empresas. La gran cantidad de legislación en la materia y los diferentes esquemas de ciberseguridad a cumplir requieren establecer los mecanismos adecuados para garantizar su cumplimiento y la continuidad de nuestra actividad.
Plan Director de Seguridad
Como dijo Séneca, no hay viento favorable para el barco que no sabe adónde va. Las empresas necesitan una hoja de ruta que eleve sus estándares de ciberseguridad y los mantenga en el tiempo, y ese es el objetivo del Plan Director de Seguridad. El Plan Director abarca la seguridad de una organización desde la perspectiva organizativa, técnica, física, lógica y legal, sin olvidar el aspecto más importante para su éxito: el factor humano.
Empezamos con un estudio profundo del estado de la seguridad de la empresa, incluyendo tanto los entornos On Premise como los entornos Cloud. El hacking ético nos ayuda a identificar agujeros y aspectos a mejorar. Con las conclusiones elaboramos un diagnóstico y listamos un conjunto de iniciativas y proyectos ordenados según coste y prioridad a corto, medio y largo plazo.
Todo el trabajo se lleva a cabo sobre la base de estándares de seguridad internacionales. Nuestro Plan Director de Seguridad no solo optimiza la seguridad de una empresa, sino que se adapta a su evolución para ofrecer la mejor guía en cada etapa de su crecimiento.
Cumplimiento Normativo
El cumplimiento normativo en materia de seguridad es clave en el buen gobierno en materia de ciberseguridad.
Desde S2 Grupo ofrecemos servicios de consultoría y auditoría para cumplir con la legislación vigente en nuestro ámbito: el Reglamento General Europeo de Protección de Datos, la Ley Orgánica de Protección de Datos y Garantías de los Derechos Digitales, así como otra normativa de aplicación.
También nos especializamos en conseguir que las organizaciones obtengan los certificados que necesitan para desarrollar su actividad, en el área de la seguridad de la información y las infraestructuras. Consulta todas las normas y marcos de referencia de ciberseguridad que te ayudamos a cumplir:
Sistema de Gestión de Seguridad de la Información incluyendo CLOUD – ISO 27001
En S2 Grupo somos expertos en la preparación de empresas para obtener certificados y superar auditorías con éxito, un reflejo del alto estándar de seguridad que aplicamos en nuestro trabajo con organizaciones. La ISO 27001 es la norma internacional que define los requisitos para establecer, implementar, mantener y mejorar un sistema de gestión de seguridad de la información.
Somos especialistas en el diseño e implantación de Sistemas de Gestión de Seguridad de la Información, dando apoyo a las organizaciones en la definición de la política y del alcance del sistema y en el diseño del soporte documental al propio sistema. Acompañamos a las empresas en sus auditorías de certificación como asesores externos y desarrollamos auditorías internas previas, para asegurar el éxito en la obtención del certificado.
Otros sistemas de gestión:
ISO 27017. Buenas prácticas de controles de seguridad de la
información para servicios en la nube.
ISO 27018. Buenas prácticas para la protección de datos personales
por parte de proveedores en la nube.
Esquema Nacional de Seguridad
El Esquema Nacional de Seguridad (ENS) aprobado por el Real Decreto 3/2010 es la referencia con la que las administraciones públicas deben medir el nivel de seguridad de sus sistemas de información.
En S2 Grupo ayudamos a las administraciones a adecuarse al Esquema Nacional de Seguridad para que garanticen la seguridad de sus servicios a todos los ciudadanos. En caso que las AA.PP. trabajen con empresas privadas como proveedoras de servicios, éstas también deben cumplir con el ENS y pueden solicitar nuestra ayuda.
El proceso de Adecuación al ENS culmina con la obtención del Certificado de Conformidad, tanto en empresas públicas como privadas. Para lograrlo, seguimos esta metodología de probada eficacia:
Análisis de situación
Análisis y gestión de riesgos
Evaluación de cumplimiento del ENS
Plan de adecuación al ENS
Reglamento General de Protección de Datos
S2 Grupo ofrecemos servicio de consultoría y auditoría para cumplir con el Reglamento General Europeo de Protección de Datos, la Ley Orgánica de Protección de Datos y Garantías de los Derechos Digitales. Estas directrices legales obligan a las empresas a realizar multitud de planes y estudios, entre ellos los siguientes:
Planes integrales de adecuación
Análisis de riesgos en el ámbito de la privacidad
Planes de tratamiento del riesgo
Revisiones contractuales, de cláusulas web y de documentación legal aplicable
Elaboración o actualización del Registro de Actividades del Tratamiento
Evaluaciones de Impacto sobre la Privacidad
Planes de concienciación en seguridad
Servicio de DPD as a Service
Servicios OT
En muchos casos no se tiene en cuenta la ciberseguridad en el diseño de infraestructuras industriales. Esto limita la implementación de medidas una vez el sistema se encuentra operativo; por ello es necesario considerar la seguridad como una etapa más del diseño y la ingeniería (Security-by-Design).
Trabajamos con nuestros clientes para definir los requerimientos de ciberseguridad que deben formar parte del proceso de ingeniería y verificamos que han sido tenidos en cuenta en el diseño:
En primer lugar, elaboramos un documento de requerimientos técnicos, organizativos y procedimentales. Contemplamos todas las exigencias en ciberseguridad necesarias a partir de un marco de referencia acordado y la documentación que nos proporciona el cliente.
Evaluamos que se han cumplido los requerimientos anteriores. Identificamos deficiencias y proponemos las medidas complementarias oportunas.
El objetivo de este servicio es incorporar la ciberseguridad en las primeras fases de un proyecto de infraestructura o sistema industrial, y hacerlo con las mayores garantías.
Ley de Infraestructuras Críticas
En S2 Grupo contamos con productos para Operadores Críticos que necesiten cumplir la Ley 8/2011 (Ley PIC) y el Real Decreto 704/2011 (Reglamento PIC) sobre Protección de Infraestructuras Críticas. Nuestros productos podrán resolver por ti las siguientes exigencias:
Realización y actualización de Planes de Seguridad del Operador (PSO) y Planes de Protección Específicos (PPE).
Elaboración de un Plan Director de Seguridad, que a su vez permita llevar a cabo el Plan de Tratamiento eficazmente.
Definición de políticas y procedimientos de seguridad.
Cumplimiento del Real Decreto-Ley 12/2018 (Directiva NIS).
Realización de auditorías técnicas industriales y tests de penetración.
Monitorización, vigilancia, alerta temprana y gestión de incidentes a través de S2 Grupo CERT.
NIST Cybersecurity Platform
VDA ISA
Te ayudamos a aplicar y seguir los consejos del Framework de NIST. NIST CSF (NIST Cybersecurity Platform) es un marco para la mejora de la ciberseguridad en infraestructuras críticas. En S2 Grupo realizamos un análisis de tu estado usando la metodología NIST y desarrollamos un Plan de Iniciativas con acciones y proyectos concretos, que se transforman en tu guía para acrecentar la seguridad de la compañía y mejorar la gestión y reducción de riesgos.
VDA ISA es el referencial de seguridad de la información de la Asociación Alemana de la Industria Automotriz. Colaboramos con las empresas de diseño, desarrollo y fabricación de componentes para la industria de automoción, y les ayudamos a desarrollar, implantar, auditar y mejorar la gestión de la seguridad de su información corporativa, que se extiende también a socios y clientes. Con nosotros conseguirás que tu empresa supere con nota la auditoría de certificación VDA ISA.