Asesoría de Ciberseguridad EVERTEC: 60 horas

El equipo de expertos de Evertec puede ayudar a su empresa a validar la tecnología que tiene implementada y aconsejarle sobre los mejores productos de Microsoft (Microsoft Defender for Endpoint, Microsoft Defender for Office 365, Intune, Azure active Directory, etc) que pueden ayudarle a contrarrestar los atacantes que intenten afectar su operación, además identificar brechas de conocimiento en seguridad en su equipo de trabajo y si existe una integración entre la postura de seguridad de su empresa y sus procesos. Para esto se hacen varias sesiones de entrevistas para conocer el estado de su empresa, se valida el puntaje del Microsoft Secure Score de su tenant y se utilizan algunas herramientas para ejecutar escaneos de descubrimiento de activos digitales y sus vulnerabilidades.

El equipo de expertos de Evertec además realizará una evaluación de madurez de ciberseguridad, con el objetivo de determinar si la Compañía ha documentado una política de seguridad de la información y un programa de ciberseguridad adecuados en línea con la metodología de Controles de Ciberseguridad y alineados con su riesgo inherente. Evertec aprovechará un marco líder en la industria redactado por el Consejo Federal de Examen de Instituciones Financieras (FFIEC) en su herramienta de evaluación de seguridad cibernética (CAT) de todas las declaraciones declarativas hasta un nivel de madurez evolutivo y realizará una evaluación de cada dominio.

Los siguientes dominios son los que deben documentarse en el programa de ciberseguridad y los procedimientos estandarizados relacionados:

• Dominio 1: Gestión de riesgos cibernéticos: directamente relacionado con los procesos de gestión para gobernar las acciones que detectan, priorizan y mitigan el riesgo de seguridad de la información. Los roles y responsabilidades con respecto a este proceso deben estar claramente documentados en la política de seguridad de la información.
• Dominio 2: Inteligencia de amenazas y colaboración: la integración de la empresa con la comunidad de seguridad cibernética en el intercambio de información y la difusión de amenazas conocidas, conducente al modelo de defensa comunitaria en seguridad cibernética.
• Dominio 3: Controles de ciberseguridad: incluye los controles de ciberseguridad más efectivos y las mejores prácticas
• Dominio 4: Gestión de la dependencia externa: la empresa debe asegurarse de que las partes externas tengan al menos el mismo nivel de ciberseguridad.
• Dominio 5: Gestión y resiliencia de incidentes cibernéticos: relacionado con los procedimientos para detectar, responder y recuperarse de incidentes de seguridad de la información.

El equipo de servicios de seguridad administrados además se reunirá con las partes interesadas a cargo de la tecnología, el negocio y la administración del sistema para identificar activos críticos en función de los tipos de datos procesados, almacenados o transmitidos. Esto impulsará la priorización de los esfuerzos de implementación de seguridad de la información, enfocándose principalmente en la mitigación de riesgos en los sistemas críticos. Complementariamente a esto, se realizará una evaluación técnica basada en el escaneo de vulnerabilidades para identificar configuraciones inseguras que el equipo de TI debe abordar para obtener un refuerzo inmediato a su postura de seguridad.

Los resultados generales de la evaluación serán discutidos con la Gerencia para su retroalimentación y aprobación final.

Tareas clave del servicio

• Examinar la documentación, las políticas y/o los procedimientos aplicables (cualquiera que esté disponible).
• Gestión de entrevistas, propietarios de procesos clave y partes interesadas.
• Identificar objetivos, riesgos y controles relacionados y/o brechas para el alcance identificado.
• Informar sobre los hallazgos y recomendaciones, si las hubiere.

Entregables claves

• Planilla con ranking de madurez de ciberseguridad y resultados. (Utilizado para formular una hoja de ruta de ciberseguridad).
• Informe con observaciones, recomendaciones y respuestas de la gerencia, si las hubiere.
• Cuestionarios de clasificación del sistema.
• Plan general de implementación de herramientas y servicios de seguridad para apoyar su postura de seguridad.
• Listado de herramientas y funcionalidades de productos Microsoft sugeridos a implementar.
• Listado de licenciamiento sugerido Microsoft a integrar en su operación.

Se puede incluir como adicional un servicio de seguimiento periódico para evaluar su evolución.