Para garantizar la seguridad de la información es importante contar con la participación de las personas que acceden a los activos de información; para lograr involucrar a estas personas es necesario realizar una concientización y entrenamiento en seguridad de la información, mediante la cual podrán conocer sus responsabilidades y la manera correcta de realizarlas, además de crear en el recurso humano la sensibilidad de las amenazas y vulnerabilidades del sistema de computo y a reconocer la necesidad de proteger la información y los medios utilizados para su procesamiento.

IQ Information Quality Ltda. ofrece los servicios de concientización, capacitación y entrenamiento en distintas modalidades y niveles que se traducen en una amplia oferta de cursos, seminarios, charlas y programas que cubren todos los aspectos actuales de la seguridad de la información.

Los entregables de este servicio son:

• Informe de diagnóstico.
• Diseño de la campaña.
• Plan de medios
• Mecanismos de monitoreo y evaluación.

La base de cualquier modelo de seguridad de la información son las Políticas y Procedimientos. Basados en una evaluación de riesgos definimos políticas y procedimientos de Seguridad de acuerdo a los requerimientos del negocio, siguiendo las recomendaciones de la familia de estándares ISO 27000.

Este servicio les permitirá a nuestros clientes definir las políticas de seguridad de acuerdo a los objetivos y requerimientos de la organización. Los entregables de este servicio son:

• Política de Seguridad de la Información de la Organización.
• Normas de Seguridad de la Información.
• Procedimientos de Seguridad de la Información.
• Estándares infraestructura tecnológica de seguridad de la información.

Un test de Penetración es un ataque dirigido y controlado hacia componentes de infraestructura tecnológica para revelar malas configuraciones y vulnerabilidades explotables, con este test se evalúa en mayor profundidad las vulnerabilidades encontradas en el Análisis de Vulnerabilidades para cuantificar las amenazas.

Entendiendo la importancia de este test, le ofrecemos a nuestros clientes un servicio en donde realizamos un test de Penetración explotando las vulnerabilidades al utilizar técnicas y herramientas de los hackers, códigos maliciosos, entre otros, mostrando las implicaciones de una instrucción y a su vez demostrando a la organización lo que un verdadero atacante podría hacer bajo las actuales circunstancias, configuraciones y vulnerabilidades encontradas en el entorno tecnológico de nuestros clientes.

Durante nuestros test, evaluamos los procesos y tecnologías, intentando evadir los controles implementados para obtener acceso a los activos de información críticos dentro del entorno informático de nuestros cliente. El éxito de estos controles de seguridad es crucial, para poder obtener un continuo éxito de la estrategia de seguridad de la información.

Nuestros consultores usan las mismas herramientas y técnicas usadas por hackers para identificar y validar las vulnerabilidades del ambiente IT de nuestros clientes.

Las fases para cumplir con este servicio son:

• Recopilación de Información.
• Identificación de objetivos.
• Enumeración de objetivos
• Identificación y Análisis de Vulnerabilidades.
• Explotación de Vulnerabilidades.

Este servicio está comprendido en dos partes: el análisis de los controles versus el Estándar ISO 27001 e ISO 27002 y el diagnostico de la infraestructura tecnológica con respecto a los criterios de confidencialidad, integridad y disponibilidad de la información.

Los entregables del proyecto son los siguientes:

• Documento de diagnóstico respecto a la norma ISO 27001 el cual incluye las vulnerabilidades encontradas por cada capítulo, el porcentaje de cumplimiento de acuerdo a los controles definidos por la norma y el nivel de madurez de los controles de acuerdo al modelo CMM." y la experiencia adquirida en las asesorías de implementación de ISO 27001

El cumplimiento de ISO 27001 es un habilitador para el negocio, por cuanto le asegura a los clientes y a los aliados de negocio el compromiso en el manejo de la seguridad de la información de la organización.

Para lograr este cumplimiento, nuestro servicio le ayuda a la organización a identificar los pasos necesarios para obtener la certificación y a implementar donde sea posible el programa de seguridad requerido para su obtención.

Los entregables de este servicio son:

• Alcance y Política de Seguridad
• Evaluación de Riesgo.
• Evaluación de vulnerabilidad de la infraestructura involucrada en el alcance.
• Plan de tratamiento de riesgos.
• Declaración de aplicabilidad.
• Normas, Procedimientos y estándares de Seguridad de la Información.
• Declaración de aplicabilidad.
• Acompañamiento en la implementación de políticas y procedimientos.
• Indicadores de gestión.
• Plan de auditoria.
• Procedimientos de acciones correctivas y preventivas.