Consultoría TI
Statement-of-work
Evaluación inicial del statement-of-work del cliente contrastando lo requerido en este documento contra una evaluación preliminar realizada por Dominio.
Como resultado se tendrá un statement-of-work calibrado y un acuerdo de trabajo entre el cliente y Dominio.
Madurez Digital
Diagnóstico inicial del estado de madurez digital del cliente respecto al proyecto y evaluación de riesgos del proyecto (capacidad, know-how, flujos de información, resistencia al cambio, ciberseguridad, etc.).
Como resultado se producirán un reporte de madurez tecnológica y un reporte de riesgos para guiar la implementación del proyecto.
Baseline
Definición del estado inicial del proceso (o sistema, o unidad de negocio) objeto del proyecto con énfasis en aquellas instancias sean potencialmente puntos de impacto económico o sean dependencias de algún punto de valor económico potencial.
Un punto de impacto económico es aquella instancia de un proceso en la cual existe la oportunidad de automatizar para lograr mayor productividad, mayor eficiencia, o para reducir un riesgo.
La definición se hará empleando tanto métricas “duras” (cuantitativas) como métricas “blandas” (cualitativas) para obtener una imagen completa del estado inicial.
Habiendo descrito a detalle el estado de inicio podremos tener una idea clara de la velocidad de progreso y de la calidad de resultados conforme vaya avanzando el proyecto. Esta información constituye un input para las reuniones (talleres) de reflexión y retroalimentación que deben realizarse en momentos críticos (hitos) del proyecto.
Procesos
Evaluación de los procesos para encontrar puntos de impacto económico con el fin de construir la lista de procesos a automatizar.
Formular Plan Estratégico
Formular, en conjunto con el cliente, el plan estratégico para implementar mejoras o automatizaciones en los procesos. Este plan debe de incluir momentos críticos (hitos) en los cuales se tengan pausas formales para evaluar el progreso del proyecto y realizar los ajustes necesarios.
Los momentos críticos se determinan en función a:
- Las etapas naturales del proyecto desde el punto de vista de la implementación técnica – progreso técnico;
- La productividad adicional, mayor eficiencia, o reducción de riesgos que se genere en puntos de impacto económico potencial conforme el proyecto de transformación digital progrese – progreso de valor.
El resultado es un plan estratégico de automatización de procesos centrado en la generación de valor económico y ejecutado con rigor técnico.
Implementación Plan Estratégico
Asesoría de la implementación del plan estratégico de automatización de procesos, incluyendo el uso de metodologías comprobadas (best practices), transferencia de know-how, puntos de revisión y retroalimentación, y aseguramiento de la calidad (quality assurance).
Como resultado los riesgos en la implementación del proyecto se reducen gracias a un nivel más elevado de calidad de gestión.
Optimización
Optimización de la cartera de proyectos: Ayudar a optimizar los proyectos tecnológicos de manera eficiente, asegurando que los recursos se utilicen de modo que se obtengan retornos superiores por monto invertido dadas las capacidades disponibles y prioridades del negocio.
El resultado es un cronograma de proyectos priorizado.
Gestión
Gestión de proyectos tecnológicos: outsourcing del servicio de project manager. Gestión de proyectos TI desde su planificación hasta la entrega final del mismo.
Entregable: Proyectos finalizados a tiempo, dentro de lo presupuestado, y logrando los objetivos planeados.
Revisión de contratos
Revisión de contratos de todo tipo de servicios relacionados a TI.
Evaluar que los contratos contengan todos los elementos y consideración de complejidades requeridos para adquirir productos y servicios de TI.
Entregable: Contratos mejorados.
Asesoramiento
Asesorar en la adopción de servicios en la nube, facilitando la transición desde infraestructuras tradicionales hacia entornos más flexibles y escalables.
- Estrategia de adopción Cloud
- Análisis de cargas
- Arquitectura
- Optimización de costos
- Seguridad
Basado en la doctrina del Centre for Internet Security (CIS). Dominio ofrece 14 de los 18 controles de ciberseguridad que componen dicha doctrina.
Safeguard 1.1: Establecer y Mantener un Inventario Detallado de Activos Empresariales
Tipo de Activo: Dispositivos
Función de Seguridad: Identificar
Establecer y mantener un inventario preciso, detallado y actualizado de todos los activos empresariales con el potencial de almacenar o procesar datos, que incluye: dispositivos de usuario final (incluyendo portátiles y móviles), dispositivos de red, dispositivos no informáticos/IoT y servidores. Asegurarse de que el inventario registre la dirección de red (si es estática), la dirección del hardware, el nombre de la máquina, el propietario del activo empresarial, el departamento de cada activo y si el activo ha sido aprobado para conectarse a la red. Para los dispositivos móviles de usuario final, las herramientas de tipo MDM pueden ayudar en este proceso, donde sea apropiado. Este inventario incluye activos conectados a la infraestructura de forma física, virtual, remota, y aquellos dentro de entornos en la nube. Además, incluye activos que están conectados regularmente a la infraestructura de la red de la empresa, incluso si no están bajo el control de la empresa. Revisar y actualizar el inventario de todos los activos empresariales de manera semestral, o con mayor frecuencia.
Safeguard 1.2: Abordar Activos No Autorizados
Tipo de Activo: Dispositivos
Función de Seguridad: Responder
Asegurarse de que exista un proceso para abordar los activos no autorizados de manera semanal. La empresa puede optar por eliminar el activo de la red, negar al activo la conexión remota a la red, o poner el activo en cuarentena.
Safeguard 2.1: Establecer y Mantener un Inventario de Software
Tipo de Activo: Software
Función de Seguridad: Identificar
Establecer y mantener un inventario detallado de todo el software licenciado instalado en los activos empresariales. El inventario de software debe documentar el título, el editor, la fecha de instalación/uso inicial y el propósito comercial de cada entrada; donde sea apropiado, incluir el Localizador Uniforme de Recursos (URL), las tiendas de aplicaciones, las versiones, el mecanismo de implementación, la fecha de baja y el número de licencias. Revisar y actualizar el inventario de software cada seis meses, o con mayor frecuencia.
Safeguard 2.2: Asegurar que el Software Autorizado Está Actualmente Soportado
Tipo de Activo: Software
Función de Seguridad: Identificar
Asegurarse de que solo el software actualmente soportado esté designado como autorizado en el inventario de software de los activos empresariales. Si el software no cuenta con soporte, pero es necesario para el cumplimiento de la misión de la empresa, documentar una excepción detallando los controles mitigadores y la aceptación del riesgo residual. Para cualquier software no soportado sin documentación de excepción, designar como no autorizado. Revisar la lista de software para verificar el soporte del software al menos mensualmente, o con mayor frecuencia.
2.3: Abordar el Software No Autorizado
Tipo de Activo: Software
Función de Seguridad: Responder
Asegurarse de que el software no autorizado sea eliminado de los activos empresariales o reciba una excepción documentada. Revisar mensualmente, o con mayor frecuencia.
Hoy la información se ha movido más allá del perímetro de las instalaciones de las empresas, por lo tanto, se requiere de un control exhaustivo no solo a nivel de encriptación entre origen y destino, si no también saber si el destino es el correcto y si este tiene algún riesgo para la información sensible de la empresa.
Los datos, aunque sean considerados de uso diario para las empresas, estos no dejan de ser sensibles para la operación y por lo tanto hay un alto riesgo en la perdida.
A través de una consultoría especializada se puede determinar cuáles son los accesos y las áreas sensibles, recordemos que los atacantes es encontrar información sensible y extraerla, muchas veces al no tener un sistema de monitoreo de la salida de información es un riesgo latente.
Es necesario contar con un inventario de los accesos externos, personas que trabajan de manera remota, proveedores y operadores que tienen acceso, para saber si cuentan con los requisitos y sistemas que protejan la información de la empresa, un registro de sus accesos.
Es necesario que la empresa identifique los datos que considera sensibles y los niveles de protección que estos incluyen, así mismo determinar que son activos de la empresa.
Para establecer el conjunto de procedimientos y herramientas de software que se puedan emplear de acuerdo a los estándares del cliente. El servicio de consultoría se involucra con las diferentes áreas de la empresa y determinan en conjunto los niveles de acceso y cuáles son las áreas de información sensible.
Safeguard 3.1: Establecer y Mantener un Proceso de Gestión de Datos
Tipo de Activo: Datos
Función de Seguridad: Gobernar
Establecer y mantener un proceso documentado de gestión de datos. En este proceso, abordar la sensibilidad de los datos, el propietario de los datos, el manejo de los datos, los límites de retención de datos y los requisitos de disposición, basados en los estándares de sensibilidad y retención de la empresa. Revisar y actualizar la documentación anualmente o cuando ocurran cambios significativos en la empresa que puedan afectar esta Medida de Seguridad.
Safeguard 3.2: Establecer y Mantener un Inventario de Datos
Tipo de Activo: Datos
Función de Seguridad: Identificar
Establecer y mantener un inventario de datos basado en el proceso de gestión de datos de la empresa. Al menos, inventariar los datos sensibles. Revisar y actualizar el inventario anualmente, como mínimo, con prioridad en los datos sensibles.
Safeguard 3.3: Configurar Listas de Control de Acceso a los Datos
Tipo de Activo: Datos
Función de Seguridad: Proteger
Configurar listas de control de acceso a los datos basadas en la necesidad de saber del usuario. Aplicar listas de control de acceso a los datos, también conocidas como permisos de acceso, a sistemas de archivos locales y remotos, bases de datos y aplicaciones.
Safeguard 3.4: Hacer Cumplir la Retención de Datos
Tipo de Activo: Datos
Función de Seguridad: Proteger
Retener los datos según el proceso documentado de gestión de datos de la empresa. La retención de datos debe incluir tanto plazos mínimos como máximos.
Safeguard 3.5: Disposición Segura de Datos
Tipo de Activo: Datos
Función de Seguridad: Proteger
Disponer de los datos de forma segura, tal como se describe en el proceso documentado de gestión de datos de la empresa. Asegurarse de que el proceso y método de disposición sean adecuados con la sensibilidad de los datos.
Safeguard 3.6: Cifrar los Datos en Dispositivos de Usuarios Finales
Tipo de Activo: Datos
Función de Seguridad: Proteger
Cifrar los datos en los dispositivos de los usuarios finales que contienen datos sensibles. Ejemplos de implementaciones incluyen: Windows BitLocker®, Apple FileVault®, Linux® dm-crypt.
El control e inventario de las configuraciones se ha vuelto crítico dado la cantidad de agentes y ataques que pueden estar expuestos los diferentes dispositivos que tienen acceso a la red, incluyendo los celulares personales que tienen acceso a la red de la empresa de los cuales no hay control de las diferentes configuraciones.
Para lo cual es necesario contar con sistemas y procedimientos que permitan un adecuado inventario de configuraciones y diferentes guías que se establezcan para que dichos inventarios sean de manera correcta y además se tenga los controles necesarios.
Cabe indicar que se considera de riesgo cualquier dispositivo conectado a nuestra red, si no también cualquier punto de red sobre el cual no se tenga un inventario.
Los puntos de red también sin uso deben quedar no alimentados por que pueden servir de medio de acceso a equipos que no estén autorizados.
El servicio de consultoría elabora un conjunto de guías y y ayuda a determinar cuales son las herramientas de software que permiten el despliegue de los controles, es necesario que exista un manual actualizado de cómo debe se debe proceder para realizar todas las actualizaciones, para evitar que existan ataques sobre sistemas no actualizados dejando la posibilidad de un ataque.
Así mismo las empresas deben tomar acciones preventivas sobre los desarrollos que al no ser actualizados en las herramientas proveedoras dejan la posibilidad de vacíos de seguridad, esta evaluación se vuelve vital por lo tanto el servicio de nuestros consultores es determinar todas las mejoras, actualizaciones y sobre todo los riesgos a los que la empresa está expuesta.
Safeguard 4.1: Establecer y Mantener un Proceso de Configuración Segura
Tipo de Activo: Documentación
Función de Seguridad: Gobernar
Establecer y mantener un proceso documentado de configuración segura para los activos de la empresa (dispositivos de usuarios finales, incluidos dispositivos portátiles y móviles, dispositivos no informáticos/IoT y servidores) y software (sistemas operativos y aplicaciones). Revisar y actualizar la documentación anualmente o cuando ocurran cambios significativos en la empresa que puedan afectar esta Medida de Seguridad.
Safeguard 4.2: Establecer y Mantener un Proceso de Configuración Segura para la Infraestructura de Red
Tipo de Activo: Documentación
Función de Seguridad: Gobernar
Establecer y mantener un proceso documentado de configuración segura para los dispositivos de red. Revisar y actualizar la documentación anualmente o cuando ocurran cambios significativos en la empresa que puedan afectar esta Medida de Seguridad.
Safeguard 4.3: Configurar el Bloqueo Automático de Sesiones en los Activos de la Empresa
Tipo de Activo: Dispositivos
Función de Seguridad: Proteger
Configurar el bloqueo automático de sesiones en los activos de la empresa después de un período definido de inactividad. Para los sistemas operativos de propósito general, el período no debe exceder los 15 minutos. Para los dispositivos móviles de usuarios finales, el período no debe exceder los 2 minutos.
Safeguard 4.4: Implementar y Gestionar un Cortafuegos en los Servidores
Tipo de Activo: Dispositivos
Función de Seguridad: Proteger
Implementar y gestionar un cortafuegos en los servidores, cuando sea compatible. Ejemplos de implementaciones incluyen un cortafuegos virtual, cortafuegos del sistema operativo o un agente de cortafuegos de terceros.
Safeguard 4.5: Implementar y Gestionar un Cortafuegos en los Dispositivos de los Usuarios Finales
Tipo de Activo: Dispositivos
Función de Seguridad: Proteger
Implementar y gestionar un cortafuegos basado en host o una herramienta de filtrado de puertos en los dispositivos de los usuarios finales, con una regla de denegación predeterminada que bloquee todo el tráfico, excepto aquellos servicios y puertos que estén explícitamente permitidos.
Safeguard 4.6: Gestionar de Forma Segura los Activos y el Software de la Empresa
Tipo de Activo: Dispositivos
Función de Seguridad: Proteger
Gestionar de forma segura los activos y el software de la empresa. Ejemplos de implementaciones incluyen la gestión de configuraciones a través de Infraestructura como Código (IaC) controlada por versiones y el acceso a interfaces administrativas mediante protocolos de red seguros, como Secure Shell (SSH) y Hypertext Transfer Protocol Secure (HTTPS). No utilizar protocolos de gestión inseguros, como Telnet (Teletype Network) y HTTP, a menos que sea operativamente esencial.
Safeguard 4.7: Gestionar Cuentas Predeterminadas en los Activos y Software de la Empresa
Tipo de Activo: Usuarios
Función de Seguridad: Proteger
Gestionar las cuentas predeterminadas en los activos y software de la empresa, como root, administrador y otras cuentas preconfiguradas por el proveedor. Ejemplos de implementaciones pueden incluir: deshabilitar cuentas predeterminadas o hacerlas inutilizables.
Es necesario la implementación de un programa integral de Gestión de Identidad y Acceso (IAM).
Es más fácil para una amenaza externo o interno obtener acceso no autorizado a los activos o datos de una empresa utilizando credenciales de usuario válidas que a través de "hackear" el entorno. Hay muchas maneras de obtener acceso encubierto a cuentas de usuario, incluyendo: contraseñas débiles, cuentas todavía válidas después de que un usuario deja la empresa, cuentas de prueba inactivas o persistentes, cuentas compartidas que no han sido cambiadas en meses o años, cuentas de servicio integradas en aplicaciones para scripts, un usuario que tenga la misma contraseña que usa para una cuenta en línea que ha sido comprometida (en un volcado de contraseñas público), ingeniería social para que un usuario dé su contraseña, o usar malware para capturar contraseñas o tokens en la memoria o a través de la red.
El desarrollo de protocolos y sistemas periódicos de validación deben ser desarrollados por equipos multidisciplinarios que no solo permitan una gestión desde el enfoque tecnológico, si no también lograr la sensibilidad dentro de la capa de usuarios para lo cual se deben de implementar no solo protocolos sino la aplicación de un conjunto de herramientas que permitan obtener información para su respectiva gestión.
Procedimientos y herramientas
Para el correcto control se ha desarrollado una serie de procedimientos que se deben de implementar para poder auditar y controlar los posibles vacíos de seguridad. Estos procedimientos deben ser apoyados por herramientas del sistema que permitan tener de manera automática los siguientes puntos de control:
- Inventario de Cuentas.
- Uso de un único Password.
- Desactivar Cuentas sin uso.
- Restringir los accesos de administración.
- Inventario de servicios y accesos (incluyendo Wifi e impresión).
- Centralizar la Gestión de Usuario.
Safeguard 5.1: Establecer y Mantener un Inventario de Cuentas
Tipo de Activo: Usuarios
Función de Seguridad: Identificar
Establecer y mantener un inventario de todas las cuentas gestionadas en la empresa. El inventario debe incluir, como mínimo, las cuentas de usuario, cuentas de administrador y cuentas de servicio. El inventario debe contener, al menos, el nombre de la persona, el nombre de usuario, las fechas de inicio y fin, y el departamento. Validar que todas las cuentas activas estén autorizadas, en un horario recurrente, al menos trimestralmente o con mayor frecuencia.
Safeguard 5.2: Usar Contraseñas Únicas
Tipo de Activo: Usuarios
Función de Seguridad: Proteger
Usar contraseñas únicas para todos los activos de la empresa. La implementación de mejores prácticas incluye, como mínimo, una contraseña de 8 caracteres para cuentas que usen Autenticación Multifactor (MFA) y una contraseña de 14 caracteres para cuentas que no usen MFA.
Safeguard 5.3: Deshabilitar Cuentas Inactivas
Tipo de Activo: Usuarios
Función de Seguridad: Proteger
Eliminar o deshabilitar cualquier cuenta inactiva después de un período de 45 días de inactividad, cuando sea posible.
Safeguard 5.4: Restringir los Privilegios de Administrador a Cuentas Dedicadas de Administrador
Tipo de Activo: Usuarios
Función de Seguridad: Proteger
Restringir los privilegios de administrador a cuentas dedicadas de administrador en los activos de la empresa. Realizar actividades generales de computación, como navegación por internet, correo electrónico y uso de suites de productividad, desde la cuenta principal del usuario, que no tiene privilegios.
6.1: Establecer un Proceso de Otorgamiento de Acceso
Tipo de Activo: Documentación
Función de Seguridad: Gobernar
Establecer y seguir un proceso documentado, preferiblemente automatizado, para otorgar acceso a los activos empresariales al momento de la contratación de un nuevo empleado o al cambio de rol de un usuario.
6.2: Establecer un Proceso de Revocación de Acceso
Tipo de Activo: Documentación
Función de Seguridad: Gobernar
Establecer y seguir un proceso, preferiblemente automatizado, para revocar el acceso a los activos empresariales, deshabilitando cuentas inmediatamente tras la terminación, revocación de derechos o cambio de rol de un usuario. Deshabilitar cuentas, en lugar de eliminarlas, puede ser necesario para preservar la data en caso de auditorías.
6.3: Requerir MFA para Aplicaciones Expuestas Externamente
Tipo de Activo: Usuarios
Función de Seguridad: Proteger
Requerir que todas las aplicaciones empresariales o de terceros expuestas externamente apliquen MFA, donde sea compatible. La aplicación de MFA a través de un servicio de directorio o proveedor de SSO es una implementación satisfactoria de esta salvaguarda.
6.4: Requerir MFA para Acceso Remoto a la Red
Tipo de Activo: Usuarios
Función de Seguridad: Proteger
Requerir MFA para el acceso remoto a la red.
6.5: Requerir MFA para Acceso Administrativo
Tipo de Activo: Usuarios
Función de Seguridad: Proteger
Requerir MFA para todas las cuentas de acceso administrativo, donde sea compatible, en todos los activos empresariales, ya sea gestionados en el sitio o a través de un proveedor de servicios.
7.1: Establecer y Mantener un Proceso de Gestión de Vulnerabilidades
Tipo de Activo: Documentación
Función de Seguridad: Gobernar
Establecer y mantener un proceso de gestión de vulnerabilidades documentado para los activos empresariales. Revisar y actualizar la documentación anualmente, o cuando ocurran cambios significativos en la empresa que puedan impactar esta salvaguarda.
7.2: Establecer y Mantener un Proceso de Remediación
Tipo de Activo: Documentación
Función de Seguridad: Gobernar
Establecer y mantener una estrategia de remediación basada en riesgos documentada en un proceso de remediación, con revisiones mensuales, o con mayor frecuencia.
7.3: Realizar Gestión de Parcheo Automatizada del Sistema Operativo
Tipo de Activo: Software
Función de Seguridad: Proteger
Realizar actualizaciones del sistema operativo en los activos empresariales a través de la gestión de parches automatizada de forma mensual, o con mayor frecuencia.
7.4: Realizar Gestión de Parcheo Automatizada de Aplicaciones
Tipo de Activo: Software
Función de Seguridad: Proteger
Realizar actualizaciones de aplicaciones en los activos empresariales a través de la gestión de parches automatizada de forma mensual, o con mayor frecuencia.
8.1: Establecer y Mantener un Proceso de Gestión de Registros de Auditoría
Tipo de Activo: Documentación
Función de Seguridad: Gobernar
Establecer y mantener un proceso documentado de gestión de registros de auditoría que defina los requisitos de registro de la empresa. Como mínimo, abordar la recopilación, revisión y retención de registros de auditoría para los activos empresariales. Revisar y actualizar la documentación anualmente, o cuando ocurran cambios significativos en la empresa que puedan impactar esta salvaguarda.
8.2: Recopilar Registros de Auditoría
Tipo de Activo: Datos
Función de Seguridad: Detectar
Recopilar registros de auditoría. Asegurar que el registro, de acuerdo con el proceso de gestión de registros de auditoría de la empresa, se haya habilitado en todos los activos empresariales.
8.3: Asegurar Almacenamiento Adecuado de Registros de Auditoría
Tipo de Activo: Datos
Función de Seguridad: Proteger
Asegurar que los destinos de registro mantengan un almacenamiento adecuado para cumplir con el proceso de gestión de registros de auditoría de la empresa.
9.1: Asegurar el uso únicamente de navegadores y clientes de correo electrónico totalmente soportados
Tipo de Activo: Software
Función de Seguridad: Proteger
Asegurarse de que únicamente se permitan los navegadores y clientes de correo electrónico completamente soportados para ejecutarse en la empresa, utilizando únicamente la versión más reciente de los navegadores y clientes de correo electrónico proporcionados por el proveedor.
9.2: Utilizar Servicios de Filtrado del DNS
Tipo de Activo: Dispositivos
Función de Seguridad: Proteger
Utilizar servicios de filtrado del DNS en todos los dispositivos de usuario final, incluidos los activos remotos y locales, para bloquear el acceso a dominios maliciosos conocidos.
10.1: Implementar y Mantener Software Antivirus
Tipo de Activo: Dispositivos
Función de Seguridad: Detectar
Implementar y mantener software antivirus en todos los activos de la empresa.
10.2: Configurar Actualizaciones Automáticas de Firmas de Antivirus
Tipo de Activo: Dispositivos
Función de Seguridad: Proteger
Configurar actualizaciones automáticas para los archivos de firma del software antivirus en todos los activos de la empresa.
10.3: Deshabilitar Autorun y Autoplay para Medios Extraíbles
Tipo de Activo: Dispositivos
Función de Seguridad: Proteger
Deshabilitar la funcionalidad de autorun y autoplay para la autoejecución de medios extraíbles.
11.1: Establecer y Mantener un Proceso de Recuperación de Datos
Tipo de Activo: Documentación
Función de Seguridad: Gobernar
Establecer y mantener un proceso de recuperación de datos documentado. En el proceso, abordar el alcance de las actividades de recuperación de datos, la priorización de la recuperación y la seguridad de los datos de respaldo. Revisar y actualizar la documentación anualmente, o cuando ocurran cambios significativos en la empresa que puedan impactar esta salvaguarda.
11.2: Realizar Copias de Seguridad Automatizadas
Tipo de Activo: Datos
Función de Seguridad: Recuperar
Realizar copias de seguridad automatizadas de los activos empresariales que estén dentro del alcance. Realizar copias de seguridad semanalmente, o con mayor frecuencia, según la sensibilidad de los datos.
11.3: Proteger los Datos de Recuperación
Tipo de Activo: Datos
Función de Seguridad: Proteger
Proteger los datos de recuperación con controles equivalentes a los de los datos originales. Hacer referencia a la encriptación o separación de datos, según los requisitos.
11.4: Establecer y Mantener una Instancia Aislada de Datos de Recuperación
Tipo de Activo: Datos
Función de Seguridad: Recuperar
Establecer y mantener una instancia aislada de datos de recuperación. Ejemplos de implementaciones incluyen el control de versiones de destinos de copia de seguridad a través de sistemas o servicios offline, en la nube o fuera del sitio.
12.1: Asegurar que la Infraestructura de Red esté Actualizada
Tipo de Activo: Red
Función de Seguridad: Proteger
Asegurarse de que la infraestructura de red se mantenga actualizada. Ejemplos de implementaciones incluyen ejecutar la última versión estable del software y/o utilizar ofertas de red como servicio (NaaS) que estén actualmente soportadas. Revisar las versiones de software mensualmente, o con mayor frecuencia, para verificar el soporte del software.
13.1: Centralizar la Alerta de Eventos de Seguridad
Tipo de Activo: Red
Función de Seguridad: Detectar
Centralizar la alerta de eventos de seguridad a través de los activos empresariales para la correlación y análisis de registros. La implementación de mejores prácticas requiere el uso de un SIEM, que incluye alertas de correlación de eventos definidas por el proveedor. Una plataforma de análisis de registros configurada con alertas de correlación relevantes para la seguridad también satisface esta salvaguarda.
13.2: Implementar una Solución de Detección de Intrusiones Basada en Host
Tipo de Activo: Dispositivos
Función de Seguridad: Detectar
Implementar una solución de detección de intrusiones basada en host en los activos empresariales, donde sea apropiado y/o soportado.
13.3: Implementar una Solución de Detección de Intrusiones en la Red
Tipo de Activo: Red
Función de Seguridad: Detectar
Implementar una solución de detección de intrusiones en la red en los activos empresariales, donde sea apropiado. Ejemplos de implementaciones incluyen el uso de un Sistema de Detección de Intrusiones en la Red (NIDS) o un servicio equivalente de un proveedor de servicios en la nube (CSP).
13.4: Filtrar Tráfico Entre Segmentos de Red
Tipo de Activo: Red
Función de Seguridad: Proteger
Realizar filtrado de tráfico entre segmentos de red, donde sea apropiado.
13.5: Gestionar el Control de Acceso para Activos Remotos
Tipo de Activo: Dispositivos
Función de Seguridad: Proteger
Gestionar el control de acceso para los activos que se conectan de forma remota a los recursos empresariales. Determinar la cantidad de acceso a los recursos empresariales en función de: software antivirus actualizado instalado, cumplimiento de las configuraciones según el proceso de configuración segura de la empresa, y asegurar que el sistema operativo y las aplicaciones estén actualizados.
13.6: Recopilar Registros de Flujo de Tráfico de Red
Tipo de Activo: Red
Función de Seguridad: Detectar
Recopilar registros de flujo de tráfico de red y/o tráfico de red para revisar y alertar desde los dispositivos de red.
15.1: Establecer y Mantener un Inventario de Proveedores de Servicios
Tipo de Activo: Usuarios
Función de Seguridad: Identificar
Establecer y mantener un inventario de proveedores de servicios. El inventario debe listar todos los proveedores de servicios conocidos, incluir clasificaciones y designar un contacto de la empresa para cada proveedor de servicios. Revisar y actualizar el inventario anualmente, o cuando ocurran cambios significativos en la empresa que puedan impactar esta salvaguarda.
- Diagnóstico de Situación TI: Infraestructura, redes, comunicaciones seguridad, organización, alineamiento con el negocio. Análisis, diagnóstico, recomendaciones y plan de acción.
- Diseño e implementación de redes: Planificación y asistencia en la implementación de redes de datos robustas y seguras, adecuadas para la expansión y el crecimiento de las medianas empresas.
- Optimización de infraestructura existente: Revisión y optimización de los sistemas y equipos tecnológicos actuales para mejorar el rendimiento, reducir costos operativos y aumentar la escalabilidad.
- Virtualización y consolidación de servidores: Ayuda para reducir la complejidad de las infraestructuras al implementar servidores virtuales que optimicen el uso de recursos.
Distribución y capacidad adecuadas
En la actualidad, es esencial contar con una distribución adecuada de los recursos tecnológicos dentro de los data centers. Esto no solo implica niveles de redundancia, sino también la capacidad de recibir nuevos servicios o ampliar su alcance para soportar demandas crecientes.
En Dominio Consultores, gracias a nuestra experiencia en la evaluación constante de tecnologías emergentes, ofrecemos una consultoría que brinda a nuestros clientes un abanico de posibilidades agnósticas a los fabricantes. Esto permite no solo cubrir las necesidades actuales, sino también estar preparados para futuros crecimientos.
Un diseño correcto y una implementación adecuada requieren una transcripción precisa de los requerimientos empresariales a la tecnología. Esto no se limita únicamente a un esquema de hardware y software, sino que también considera la rentabilidad para la empresa.
Todo sistema necesita un nivel de contingencia que garantice su operatividad desde todos los frentes. Hoy en día, es vital considerar no solo los problemas tradicionales, como cortes de energía o fallas de equipos, sino también los problemas ocasionados por ciberataques y otros riesgos emergentes.
Análisis y procesos de acompañamiento de gestión del cambio
Dominio ofrece un servicio orientado a acompañar los procesos de cambio de la organización.
En los procesos de gestión de cambio se prepara todo lo necesario para la transición al cambio nuevo, se obtiene el respaldo de la organización para el cambio en cuestión y se implementa en tiempo y forma.
Un punto relevante en el servicio es el análisis del impacto que tendrá el cambio en todos los niveles y equipos de la empresa.
Como parte del proceso Dominio adopta una metodología de gestión del cambio para acompañar una implementación tecnológica en las empresas.
Seguimos las siguientes etapas:
- Conciencia del cambio: Necesidad del negocio
- Estrategia del cambio: Concepto, diseño del plan
- Implementación: Difusión, comunicación, capacitación
- Medición: Retroalimentación, reforzamiento
Supervisar y Controlar la implementación de un proyecto
Dominio ofrece un servicio de consultoría que permite supervisar, y controlar la correcta marcha de un proyecto de implementación de tecnologías de información y comunicaciones.
Propuesta de valor:
- Asegurar un proceso de implementación de un proyecto TI exitoso en tiempo y costos.
- Adopción adecuada de las distintas áreas de negocio en el uso de la herramienta para lograr una visión compartida alineada con los objetivos de la empresa.
- Soporte al área de TI y nexo en la gestión del proyecto de implementación.
Dentro del servicio se verifica: la calidad de ejecución del proyecto TI, cumplimiento del alcance (statement-of-work), criterios de aceptación de la plataforma, se identifican las desviaciones que puedan impactar a los usuarios, generando, sesiones ejecutivas de QA.