Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Estamos inmersos en una era tecnológica donde se necesitan, cada vez más, sistemas
informáticos para establecer y mantener cualquier estructura empresarial acorde a los
objetivos del mercado, más aún si la base de su actividad se relaciona con soportes de
acceso generalizado, como es el caso que nos ocupa. Estos recursos tecnológicos
suelen ser cada vez más sofisticados y aportan a las organizaciones nuevas
funcionalidades, aunque, por otra parte, las hacen cada vez más vulnerables a posibles
ciberataques.
Por esta razón, proponemos para la empresa Babyline la realización de dos pruebas
que consideramos se complementan entre sí:
Por todo ello, se trata de pruebas diferentes pero complementarias para asegurar la
protección y la capacidad de reacción frente a riesgos cibernéticos, ya que si bien es
importante identificar y evaluar las posibles vulnerabilidades, también lo es hacer una
comprobación real sobre la eficacia de las medidas de seguridad y controles existentes,
pudiendo, a su vez, corregirlos o actualizarlos a fin de asegurarnos de un
funcionamiento eficaz de los mismos.
- Objetivos a alcanzar:
Estudio y exposición de un análisis de vulnerabilidades y potenciales amenazas
que pueda asistir la implementación de técnicas, programas y rutinas en
materia de ciberseguridad, así como la planificación para la obtención y el
fomento de la cultura de seguridad adaptada a las peculiaridades de todos y
cada uno de los empleados y su adecuación a las características de Babyline.
- Áreas a auditar:
Se pretende hacer una auditoría completa de ciberseguridad en relación a los
diversos departamentos y teniendo en cuenta el objeto y las características de
la empresa, mediante:
. La evaluación sobre el gobierno de la ciberseguridad.
. La existencia y eficacia de las medidas de protección de activos (personas,
sistemas, equipos, redes, datos, etc.).
. Cumplimiento de la legislación, normas y estándares relativos a la
organización.
. Existencia y eficacia en relación a Controles de acceso, gestión de perfiles y
privilegios.
. Seguridad sobre los equipos, comunicaciones y redes, cifrado de la
información, firma electrónica, etc.
. Medidas de protección y detección de código malicioso y sobre Gestión de
incidencias.
. Implicación del personal en materia de ciberseguridad, así como su formación
y concienciación.
- Criterios de auditoría:
. Eficacia, rentabilidad y economía.
. Capacitación y corrección en la prestación de servicios.
. Calidad de los procedimientos.
. Transparencia hacia la organización y discreción respecto a la relación laboral,
con sometimiento al principio de secreto profesional.
. Compromiso de supeditación a buenas prácticas en ciberseguridad
. Sometimiento al principio de legalidad.
- Objetivos a alcanzar:
- Áreas a probar:
En las distintas fases citadas con anterioridad se citan técnicas y recursos que
quizás no se utilicen sino que se nombran como alternativas posibles.