En AconSeg contamos con un denominador común en nuestros servicios de asesoría y consultoría, el cual es velar por la entrega de conocimiento específico para su negocio, en conjunto con soluciones que se adecuen a los objetivos y proyección de inversión de corto, mediano y largo plazo.
Buscamos, a través de la seguridad, una mejora en la eficiencia y efectividad de sus procesos, haciendo de esta un proceso BAU y disminuyendo la carga operativa de los colaboradores.
Normativas y Regulaciones
En AconSeg contamos con amplia experiencia en diversas regulaciones y normativas, tanto internacionales como así locales, entre las cuales se encuentran:
La normativa PCI-DSS se encuentra abocada a los sistemas, aplicaciones y procesos que procesan, almacenan y transmiten información de tarjeta de crédito y/o débito. Por tal motivo, su cumplimiento es mandatorio y dictado por las marcas de pago y/o entes locales (adquirentes y/o procesadores de pago, entre otros) dependiendo el modelo de negocio del afectado.
El estándar ISO 27001 es de conocimiento y aceptación internacional. El mismo nos provee el marco de trabajo y lineamientos necesarios para montar, mantener y mejorar de forma continua un sistema de gestión de seguridad de la información. El mismo incluye un anexo (también conocido como ISO 27002), el cual provee 114 controles de seguridad, divididos en 35 objetivos y 14 dominios.
ISO 27001 ha sido y es considerado actualmente, a nivel mundial, una de las guías más eficientes y efectivas para abordar la seguridad de la información en cualquier organización, en todos sus ámbitos, desde el gobierno corporativo hasta la cadena de suministros y parametría de plataformas.
La Regulación General para la Protección de Datos (GDPR) fue creada en Abril de 2016 de forma conjunta por los diversos países que confirman a la Unión Europea. El objetivo de dicha regulación es entregar control a los ciudadanos y residentes sobre sus datos personales y simplificar el entorno regulador unificando la regulación dentro de la UE. Por tal motivo, dicha normativa aplica a los distintos “controladores” (responsables de cómo y por qué se procesan datos) y “procesadores” (quienes procesan los datos personales propiamente dichos).
GDPR ha sido considero como una de las regulaciones más abarcativas y efectivas para dar cumplimiento a regulaciones locales de diversos países, como ser la Ley 19.628 en Chile.
La Recopilación Actualizada de Normas (RAN) en sus versiones 20-7, 20-8 y 20-9 aspiran a regular el outsourcing de actividades, la gestión de incidentes de TI y la continuidad operacional de las entidades financieras.
El alineamiento a dichas regulaciones resulta mandatorio para las entidades financieras, resultando en importante multas financieras en caso de no cumplimentarlas.
La normativa SOX vigente para toda organización la cual cotiza en la bolsa de Estados Unidos, fue creada con el fin de monitorear a dichas empresas en pos de evitar fraudes y riesgo de bancarrota, como así también regular las funciones financieras contables y de auditoría.
SOX no determina una serie de controles específicos como lo hacen otras normas (ej. ISO 27001 o PCI, entre otras), sino que demanda la definición y establecimiento de controles internos que provean un nivel de monitoreo, certeza y auditabilidad apropiadas.
Asesoría y Capacitación
Ya sea por requerimientos externos (ej. PCI-DSS, RAN 20-7/8/9, SOX, GDPR, etc) o internos (ej. políticas regionales), las organizaciones se encuentran en continua necesidad de evaluación, alineamiento y mejora. Es por esto, que la ejecución de análisis de brecha (GAP), alineamiento y cumplimiento de marcos regulatorios externos o internos son la columna vertebral en la estandarización y mejora de procesos.
Nuestros servicios de Compliance y Análisis de brecha (GAP) son integrales. Nuestro diferencial es la atención al detalle. Consultores certificados PCI-P, ISO 27001 y CISA, entre otros, evalúan sus procesos y plataforma tecnológica de forma granular, permitiendo identificar hitos claves en el alineamiento normativo.
Relevamos de forma detallada de la situación actual de su organización mediante consultores con experiencia demostrable en los procesos y tecnologías a evaluar.
Analizamos la información relevada en su correspondiente contexto y ámbito de uso, y la contrastamos contra los marcos requeridos.
Diseñamos y proponemos soluciones acordes a las necesidades de su compañía, y buscamos sinergia entre sus procesos. No duplicamos, no redundamos, no aislamos. En AconSeg buscamos eficiencia en los procesos de su organización.
Ordenamos la ejecución mejoras y remediaciones, proponiendo calendarios que permitan implementar dichas acciones de forma congruente a los objetivos de la organización y con sus dependencias listas al momento de iniciar cada implementación.
Validamos las remediaciones y/o mejoras implantadas, entregando certeza a las organizaciones sobre las acciones tomadas en pos de un objetivo especifico.
Resultados que enriquecen
Los informes resultantes de nuestros Análisis de brecha (GAP) y Compliance enriquecerán a su organización tanto técnica como ejecutivamente.
Entregamos información ejecutiva, clara y concisa, que permita a la alta dirección comprender el estado actual de cumplimiento de sus procesos. Y entendemos que informar no es suficiente para proyectar, por esto nuestros informes técnicos cuentan con información lo suficientemente detallada para que sus colaboradores técnicos puedan abordarla toda solución requerida.
La gestión de un proyecto puede definir su éxito o fracaso. En el caso de los proyectos relacionados a seguridad informática y/o de la información, esto puede incluso generar un perjuicio a su organización.
En AconSeg nos focalizamos en la gestión de proyectos de seguridad y regulatorios. Los cuales, al ser finalizados de forma satisfactoria, proveen a su organización de protección de sus activos y, a la vez, facilitan los procesos regulatorios a los cuales pueden verde sometidos (ej. PCI-DSS).
La auditoría al On-Going
Nos especializamos en hacer del proceso de auditoría periódico de su organización, un proceso BAU para su negocio y para esto, nos basamos en las buenas prácticas de gestión de proyectos de seguridad entregadas por el NIST.
Gracias a este enfoque, su organización logrará una disminución del tiempo y costo invertido en procesos de auditoría, mayor nivel de certeza de aprobación a los procesos de certificación y recertificación, estandarización de artefactos transversales a diversas normas aplicables y capacitación a sus colaboradores en los procesos regulatorios que ellos soportan.
Identificamos sus procesos, responsables y artefactos entre otros.
Eficientizamos la manera de evidenciar los procesos, buscamos transversalidad en los artefactos, segregamos responsables y llevamos su generación a un proceso periódico establecido.
Capacitamos a las personas involucradas en la generación de los artefactos, su necesidad y naturaleza. Generamos conciencia desde el 1º eslabón de la cadena.
Evaluamos sus artefactos de forma continua, con el fin de identificar toda remediación requerida en tiempo y forma, sin riesgos a su proceso de auditoría.
Remediar las desviaciones, basadas en propuestas provistas por AconSeg y aprobadas por las áreas pertinentes.
Responder a los procesos de auditoría de certificación, con el fin de obtener las acreditaciones esperadas.
La capacitación y educación en seguridad de la información representa una de las herramientas más efectivas para afrontar amenazas de toda organización.
El recurso humano es el más impredecible, pero, a la vez, puede ser el más enriquecedor a los procesos y resguardo del negocio.
En AconSeg apostamos al desarrollo de las personas como filosofía de crecimiento y por esto, desarrollamos programas de capacitación comprehensibles, realistas y que entreguen conocimiento útil y no solo teórico.
Nuestros instructores cuentan con certificaciones internacionales (PCI-P, ISO 27001 LI, CISA, etc) y amplia experiencia en la auditoría, implementación y evaluación de las diversas normas y contenidos brindados como parte de nuestras capacitaciones, lo cual nos permite ser creativos al momento comunicar y didácticos al momento de ejemplificar.
Nuestros programas de capacitación incluyen:
| PCI-DSS | Como proteger la información de tarjetahabiente en sus diversos estadios.Contamos con 3 niveles orientados a cada rol y necesidad: Inicial, Intermedio y Avanzado. |
| Ciberseguridad | Nociones y controles de ciberseguridad requeridos por el marco de trabajo denominado CSF provisto por NIST. |
| Seguridad de la Información | Alineado a ISO 27001, se incluye contenido que permita comprender como, donde y cuando considerar la seguridad de la información. |
| ISO 27001/2 | Sistemas de Gestión de la información y ámbitos de control de seguridad y continuidad requeridos por su Anexo (ISO 27002). |
| PA-DSS | Como desarrollar aplicaciones alineadas con PA-DSS que faciliten el compliance a PCI-DSS de quienes las utilizan. |
La conciencia en seguridad se determina por el conocimiento y la actitud que los miembros de una organización poseen en relación con la protección física y lógica de sus activos.
En AconSeg abordamos los programas de concientización de forma tal que provean cobertura a la totalidad de tipos de activos de su organización, reduciendo la probabilidad y costos resultantes de incidentes de seguridad, y aumentando la confianza de sus clientes e imagen de su organización.
Nuestros servicios permiten conocer el "As-Is" de su organización, programar contenido ad-hoc a sus necesidades, evangelizar y concientizar a sus colaboradores y evaluar el nivel de mejora obtenido. La obtención de resultados medibles y comparables le permitirá adecuar sus programas venideros, generando así un círculo virtuoso de crecimiento en la conciencia de seguridad de su organización.
Up-To-Date
Creamos contenido, no reutilizamos. Nuestros consultores certificados crean contenido basado en tendencias y amenazas actuales del mercado, y nuestros especialistas en comunicación harán que la información sea fácilmente comprensible por todos sus colaboradores, independientemente del nivel de conocimiento técnico que posean.
Con un 70% de las compañías a nivel global con una marcada preferencia a las comunicaciones mediante e-mail, los ataques de Phishing se han transformado de “posible amenaza” a potencial riesgo crítico con afectación al 100 % de las organizaciones que cuenten con e-mail y colaboradores.
Los ataques de Phishing, en el tiempo han demostrado no solo que la información en mano de los colaboradores puede ser víctima de compromiso en términos de Confidencialidad, sino que los sistemas tecnológicos de su organización pueden sufrir Indisponibilidad, como así su información daños a la Integridad.
Un claro ejemplo de ataque de Phishing ha sido el renombrado ransomware Wannacry, el cual, a través de un e-mail de Phishing y un colaborador sin el conocimiento para identificar la potencial amenaza, infiltro la red, identifico información y encripto la misma, afectando así la disponibilidad y potencialmente integridad de esta.
¿Cómo podemos colaborar con su organización?
En AconSeg, nos enfocamos en capacitar a sus colaboradores mediante ejercicios de Phishing que pondrán a prueba sus capacidades para identificar correos maliciosos.
Utilizamos contenido a la orden del día, el cual aborde tópicos que generen interés en los colaboradores y desafíen a su instinto de acceder una comunicación sin antes evaluarla.
Medimos y reportamos no solo el acceso a un correo electrónico, sino la apertura de link y hasta incluso el ingreso de credenciales a sitios ficticios (evitando la captura de datos con el fin de garantizar confidencialidad de información).
¡Nuestros Phishing capacitan!
Ser víctima de un ejercicio de Phishing debe conllevar aprendizaje. En AconSeg, nuestras campañas incluyen infografías para quienes ingresen a los sitios designados por la campaña, de forma de entregar a sus colaboradores información que les permita crecer en términos de seguridad y reducir la probabilidad de ser victimas nuevamente.
En el mundo de la seguridad, la frase “la seguridad de una organización es tan robusta como su eslabón más débil” es considerada una verdad irrefutable. En AconSeg, creemos que “el eslabón más débil, es también el más fuerte, ya que es quien puede romper la cadena” - Stanislaw Jerzy Lec.
Los ejercicios de Ingeniería Social nos permiten identificar el nivel de conciencia en seguridad que los distintos niveles de su organización poseen. Conocer el nivel de conocimiento y resguardo de información desde el punto de ingreso a su organización (personal de seguridad, recepcionistas, cajeros, etc) hasta los más altos mandos de esta (ejecutivos, gerencia general, COO, CEOs, entre otros).
Técnicas, ámbitos e información
Nuestros especialistas utilizan diversas técnicas de comunicación que les permitan generar reacciones emocionales, de forma de obtener empatía con sus interlocutores y ganar acceso a los activos de su organización.
Nuestros ámbitos de acción incluyen tanto los entornos físicos (oficinas, datacenters, sucursales, etc) como así lógicos (Call Centers, Contact Center por E-mail, etc).
Utilizamos información de alcance público. Lo que garantiza que nuestros ejercicios simulan un ataque del mundo real, con información accesible a cualquier individuo que desee generar un perjuicio a su organización.
Resultados que explican y retroalimentan
Nuestros informes cuentan una historia. En AconSeg no mostramos solo resultados, sino el proceso que nos llevó a ellos.
¿Como, cuando, por que, con qué información? Todas estas preguntas son respondidas para todos y uno de los hallazgos generados por nuestros ejercicios de Ingeniería Social, de forma de que su organización pueda diseñar un claro plan de acción y programa de capacitación que permita reducir los riesgos detectados.
El Gobierno de TI resulta una pieza fundamental en toda organización.
Sin un Gobierno definido, las responsabilidades no logran ser definidas con claridad y las ejecuciones pueden fallar, generando perjuicios a la compañía.
AconSeg provee servicios de análisis y definición del Governance de su compañía, en conjunto con documentación que da soporte al mismo.
