Documentos de Académico
Documentos de Profesional
Documentos de Cultura
VCOM propone la siguiente metodología consultiva para abordar cada una de las Especificaciones del
Servicio Ofertado para dar cumplimiento a lo solicitado por el cliente.
Esta consultoría se realizará en 2 etapas las cuales tienen los siguientes alcances:
La metodología de trabajo se basa en entrevistas con los responsables del establecimiento de la estrategia y
ejecución de la defensa de las organizaciones y la solicitud de información relevante para el análisis
posterior. Se entrevistará a los miembros de la organización con funciones y responsabilidades asociadas a la
seguridad de la información y operación de servicios TI.
En estas entrevistas, el Consultor revisará las dimensiones de Políticas, Controles, Procesos, Procedimientos,
Automatizaciones acorde a los Requerimientos y Subrequerimientos de la normativa del CEN (basada en la
NERC-CIP)
La adherencia de un sistema de gestión de la seguridad conlleva una serie de mejoras para la gestión de los
activos críticos de las empresas que requiere la definición de políticas y procedimientos que permitan dar un
marco de trabajo a las tecnologías que se requieren implementar, sin un marco regulador adecuado se pueden
generar desviaciones de los niveles de cumplimientos y adopción de los marcos referencia para sistemas de
gestión de la seguridad.
Esta Etapa 1 tiene como objetivo dotar de un plan en 4 fases para elevar el nivel de madurez de la
organización.
Fase 1: Planificación.
Contempla el entendimiento del Core de negocio de la compañía y sus principales procesos, la planificación
en conjunto de las actividades a realizar y la definición de los colaboradores a entrevistar para realizar el
Assesment.
Realizar un levantamiento y análisis de la situación actual, con el objetivo de establecer rápidamente el nivel
de madurez de la organización en ciberseguridad, basándose en la normativa de ciberseguridad del CEN.
Analizar los gaps encontrados, determinar el nivel de madurez y por último recomendación del Plan
estratégico de Ciberseguridad.
Por último, se establece el objetivo a cumplir y se entregan las recomendaciones a realizar a corto, mediano y
largo plazo para cumplir con ese objetivo.
o Generación de Informe Final al término del servicio con el estado de madurez General, basado
en la normativa de ciberseguridad del CEN.
o Identificación de las políticas y procedimientos y las desviaciones.
o Recomendaciones de mejoras en base a los Gap encontrados.
o Reunión de cierre y entrega al cliente
El alcance de esta etapa considera la creación de 9 políticas que son las mínimas que una organización debe
tener basado en los estándar y normas internacionales. El nombre (o tema) de la política y el/los control(es)
básico(s), se describen a continuación. Política Sistema de Gestión de Seguridad de la Información
La política de una organización es una declaración de principios generales que la empresa u organización se
compromete a cumplir. En ella se dan una serie de reglas y directrices básicas acerca del comportamiento que
se espera de sus empleados y fija las bases sobre cómo se desarrollarán los demás documentos (normas
manuales, procedimientos) de la empresa.
Tipos de Política
o Generales: Son políticas que alcanzan a toda la organización y marcan sus líneas generales.
Deben ser conocidas por todos y servir de guía. Una buena política general
deberá ser acorde con la estrategia fijada por la empresa y servir de referencia para la
elaboración del resto de políticas departamentales y específicas
o Departamentales: Son los principios a seguir de cada departamento o servicio.
o Políticas Específicas: Este último tipo de políticas son principios fijados para actividades y
proyectos concretos hechas a medida de los mismos.
Pasos de la creación y/o actualización de Políticas
El consultor revisará las políticas existentes junto con las costumbres y formas de hacer (explícitas o tácitas)
en función de la normativa del CEN y propondrá un texto formal de política que considere los objetivos,
alcances, definiciones, roles y responsabilidades, estándares y controles adoptados.
1. Sesión de trabajo con el equipo responsable de definir y/o actualizar las políticas.
3. Entrega de textos de políticas para que la organización las presente a su Alta Administración y
Directorio para aprobación.