SEGURIDAD Y MANEJO DE RIESGOS

De acuerdo a un estudio por Next Generation Security Software (NGS) nueve de diez sitios web financieros contiene defectos de seguridad que podrían exponerlos a los ataques de hackers (phishing attacks).

Mas del 90 por ciento de las aplicaciones basadas en web auditadas por NGS en el ultimo ano contenían errores de seguridad o defectos lógicos y aproximadamente un tercio  de las aplicaciones contenían vulnerabilidades que podrían ser explotadas para extraer volúmenes de información confidencial de los clientes.

El estudio revelo adicionalmente que los atacantes están desarrollando formas altamente sofisticadas de ingeniería social para engañar a los clientes y convencerlos de dar información financiera sensitiva.

Es sorprendente la poca preparación que tiene los negocios para responder a un ataque de hackers  en contra de sus propios clientes.

En otra perspectiva el manejo del riesgo en las organizaciones esta fragmentado, y no posee una visibilidad integrada y  central. La fragmentación lleva a esfuerzos duplicados y tecnologias y procesos aislados, resultando en islas de información.

AITIL y sus aliados estratégicos lo ayudaran a desarrollar una función de Manejo del Riesgo Empresarial (Enterprise Risk management (ERM)), ERM es una guía estructurada que esta siendo usada por las organizaciones que buscan mitigar los riesgos tecnológicos de sus Activos de Información.

En conclusión confidencialidad, integridad y disponibilidad son generalmente considerados como las bases de la seguridad y son difíciles de conseguir. Para soportar la privacidad de su información, proteger su negocio y su reputación, AITIL desarrollara para su compañía, un plan de seguridad proactivo.

Nosotros podemos desarrollar un plan de trabajo que lo ayudara a cumplir  con los requerimientos regulatorios y de seguridad, usando mejores prácticas como ISO17799 (código de mejores practicas para seguridad informática). El resultado final sera un estudio de ambiente de su empresa que incluye:

1. Una revisión de la infraestructura  y arquitectura, incluyendo servidores, elementos de red y almacenamiento.

2. Una revisión de los controles técnicos de seguridad existentes.

3. Auditoria de la vulnerabilidad externa para examinar conexiones con aliados comerciales, conexiones a   Internet, acceso remoto de laptops, acceso inalámbrico, conexiones casa – oficina e ingeniería social.

4. Auditoria de vulnerabilidad interna , para examinar los sistemas internos, sistemas de seguridad física y centros de datos, controles de acceso para empleados y empleadores, acceso accidental y abuso de sistemas, recursos y datos.

5. Una revisión de las políticas, procedimientos, estándares y guías.

6. Una revisión del personal de seguridad y sus habilidades.

7. Una revisión de la estructura organizacional, alineamiento, roles y responsabilidades

8. Identificación de áreas a tomar en cuenta para cumplir con sus normativas y metas de mejores practicas