Metodología Consultiva

VCOM propone la siguiente metodología consultiva para abordar cada una de las Especificaciones del
Servicio Ofertado para dar cumplimiento a lo solicitado por el cliente.

Esta consultoría se realizará en 2 etapas las cuales tienen los siguientes alcances:

1. Metodología Etapa 1 (Assessment)

El alcance de esta etapa considera :

o Levantamiento del Estado de Situación de la Ciberseguridad.

o Análisis basado en la Estrategia de Adopción de los Framework, Políticas y Normas.
o Documentación y cierre del Assesment.

La metodología de trabajo se basa en entrevistas con los responsables del establecimiento de la estrategia y
ejecución de la defensa de las organizaciones y la solicitud de información relevante para el análisis
posterior. Se entrevistará a los miembros de la organización con funciones y responsabilidades asociadas a la
seguridad de la información y operación de servicios TI.

En estas entrevistas, el Consultor revisará las dimensiones de Políticas, Controles, Procesos, Procedimientos,
Automatizaciones acorde a los Requerimientos y Subrequerimientos de la normativa del CEN (basada en la
NERC-CIP)

El desarrollo de este servicio contempla 4 líneas de ejecución:

o Sesión de trabajo con el equipo responsable de definir las políticas.

o Sesión de trabajo con el equipo responsable de la operación de la TI-TO.
o Solicitud de información de prácticas, políticas, y/o procedimientos que actualmente tenga la
Compañía
o Entrega de resultados al equipo de gobierno de cliente.

La adherencia de un sistema de gestión de la seguridad conlleva una serie de mejoras para la gestión de los
activos críticos de las empresas que requiere la definición de políticas y procedimientos que permitan dar un
marco de trabajo a las tecnologías que se requieren implementar, sin un marco regulador adecuado se pueden
generar desviaciones de los niveles de cumplimientos y adopción de los marcos referencia para sistemas de
gestión de la seguridad.
Esta Etapa 1 tiene como objetivo dotar de un plan en 4 fases para elevar el nivel de madurez de la
organización.

Fase 1: Planificación.

Contempla el entendimiento del Core de negocio de la compañía y sus principales procesos, la planificación
en conjunto de las actividades a realizar y la definición de los colaboradores a entrevistar para realizar el
Assesment.

Las principales actividades son:

o Kick Off del servicio

o Levantamiento de situación actual.
o Identificación actual de los Activos Críticos.
o Identificación del Proceso de Negocio.
o Generación de Entrevistas de Relevamiento.
o Identificación de Roles y Stakeholders.

Fase 2: Estado de Situación de la Ciberseguridad.

Realizar un levantamiento y análisis de la situación actual, con el objetivo de establecer rápidamente el nivel
de madurez de la organización en ciberseguridad, basándose en la normativa de ciberseguridad del CEN.

Las principales actividades son:

o Identificación del Nivel de Madurez de la Ciberseguridad, basado en los Frameworks.

o Norma y Políticas definidas.
o Identificación del SGSI y del Framework Implementado o deseado.
o Identificación de las políticas actualmente Implementadas.
o Identificación de Procedimientos de Seguridad.

Fase 3: Análisis basado en la Estrategia de Adopción de los Framework.

Analizar los gaps encontrados, determinar el nivel de madurez y por último recomendación del Plan
estratégico de Ciberseguridad.

Las principales actividades son:

o Definición de Framework de la ciberseguridad para adherir.

o Controles de apoyo para el Framework, Norma y Políticas definidas (Normativa de
ciberseguridad del CEN).
o Análisis de los gaps encontrados en base al nivel de madurez de la Compañía.
o Definición de Plan Estratégico de Adopción del Política y Controles de Ciberseguridad.

Fase 4: Documentación y cierre del servicio

Por último, se establece el objetivo a cumplir y se entregan las recomendaciones a realizar a corto, mediano y
largo plazo para cumplir con ese objetivo.

Las principales actividades son:

o Generación de Informe Final al término del servicio con el estado de madurez General, basado
en la normativa de ciberseguridad del CEN.
 o Identificación de las políticas y procedimientos y las desviaciones.
o Recomendaciones de mejoras en base a los Gap encontrados.
o Reunión de cierre y entrega al cliente

2. Metodología Etapa 2 (Desarrollo de Políticas)

El alcance de esta etapa considera la creación de 9 políticas que son las mínimas que una organización debe
tener basado en los estándar y normas internacionales. El nombre (o tema) de la política y el/los control(es)
básico(s), se describen a continuación. Política Sistema de Gestión de Seguridad de la Información

o Política de Control de Acceso

o Política de Gestión de Activos
o Política de Gestión de Seguridad en las Operaciones
o Política de Gestión de Seguridad en las Comunicaciones
o Política de Protección de Datos Personales
o Política de Gestión de Incidentes de Seguridad
o Política de Capacitación de Seguridad
o Política de Seguridad del Software

*Las Políticas Propuestas pueden variar

La política de una organización es una declaración de principios generales que la empresa u organización se
compromete a cumplir. En ella se dan una serie de reglas y directrices básicas acerca del comportamiento que
se espera de sus empleados y fija las bases sobre cómo se desarrollarán los demás documentos (normas
manuales, procedimientos) de la empresa.

Tipos de Política

o Generales: Son políticas que alcanzan a toda la organización y marcan sus líneas generales.
Deben ser conocidas por todos y servir de guía. Una buena política general
deberá ser acorde con la estrategia fijada por la empresa y servir de referencia para la
elaboración del resto de políticas departamentales y específicas
o Departamentales: Son los principios a seguir de cada departamento o servicio.
o Políticas Específicas: Este último tipo de políticas son principios fijados para actividades y
proyectos concretos hechas a medida de los mismos.
Pasos de la creación y/o actualización de Políticas

Paso 2: Aprobación de las políticas.

Se revisan y se realizan las Paso 3: Difundir las políticas de la Paso 4: Mantener la aplicación, el
Paso 1: Proyectar y desarrollar las
adaptaciones necesarias, para que empresa. Consiste en hacer saber las cumplimiento y la vigencia de las
políticas, en las cuales se atiende a
una vez acordadas y redactadas en su mismas a todo el personal o persona políticas. Es aconsejable hacer
la necesidad, la utilidad y su
versión definitiva puedan ser vinculada a la actividad laboral de la actualizaciones, en caso de ser
redacción.
aprobadas por la dirección de compañía, y formalizar su aplicación. necesarias, al final de cada ejercicio.
la empresa.

La metodología de trabajo se basa en entrevistas virtuales con los responsables de la estrategia e

implementación de las buenas prácticas.

El consultor revisará las políticas existentes junto con las costumbres y formas de hacer (explícitas o tácitas)
en función de la normativa del CEN y propondrá un texto formal de política que considere los objetivos,
alcances, definiciones, roles y responsabilidades, estándares y controles adoptados.

El desarrollo de esta actividad contempla 3 líneas de ejecución:

1. Sesión de trabajo con el equipo responsable de definir y/o actualizar las políticas.

2. Sesión de trabajo con el equipo responsable de la implementar las políticas.

3. Entrega de textos de políticas para que la organización las presente a su Alta Administración y
Directorio para aprobación.