“Gracias a la alianza con Delta Protect, Atrato ha logrado avances significativos hacia la certificación ISO 27001, fortaleciendo notablemente su seguridad y cumplimiento. El soporte continuo y las asesorías expertas de Delta, combinadas con la innovadora plataforma Apolo, han sido fundamentales para acelerar y optimizar nuestro roadmap, permitiéndonos enfrentar y superar eficazmente cualquier desafío en seguridad de la información.”
“Tras 3 meses de colaboración efectiva con Delta Protect, estamos impresionados con los resultados y la cobertura del programa de Pentesting de CISO As a Service. Hemos detectado y abordado vulnerabilidades clave, mejorando significativamente nuestra seguridad de la información. Los entrenamientos de Ciberseguridad y ejercicios de Phishing han sido cruciales para aumentar la conciencia de nuestros colaboradores. Agradecemos el seguimiento y apoyo continuo de Delta Protect y esperamos alcanzar más objetivos juntos.”
“Nuestra colaboración con Delta Protect marcó un hito en nuestra seguridad digital. Su enfoque meticuloso y detallado en el Pentest reveló vulnerabilidades ocultas que habían pasado inadvertidas, demostrando una eficacia y rapidez impresionante en su resolución. Además, su servicio de CISOaaS transformó nuestra estrategia de ciberseguridad, donde su equipo experto nos guió en el desarrollo de políticas robustas y procesos efectivos.”
“Me complace enormemente relatar la experiencia positiva y enriquecedora que hemos tenido con Delta Protect y su sobresaliente servicio de Chief Information Security Officer as a Service (CISOaaS). Representando al departamento de TI de Sperientia, quiero expresar mi profunda gratitud y aprecio por el alto nivel de calidad y profesionalismo evidenciado en nuestra colaboración con el equipo de Delta Protect. Desde el inicio de nuestra asociación con Delta Protect, hemos observado un compromiso y una excelencia excepcionales, superando ampliamente nuestras expectativas.”
“Mi experiencia con el equipo de especialistas de Delta Protect ha sido tremendamente positiva. En todo momento, han mostrado un alto grado de profesionalismo, experiencia y conocimiento, manejándose con una ética impecable. Su atención al detalle y su disposición para resolver problemas y brindar apoyo han sido imprescindibles. Como CISO, valoro enormemente contar con aliados tan confiables y competentes, que contribuyen significativamente a fortalecer la postura de ciberseguridad de mi compañía.”
Nuestra reciente experiencia con Delta Protect en el pentesting fue excepcional. Nos brindaron asistencia crucial para identificar y fortalecer aspectos de seguridad en variados sistemas e interfaces, abarcando front-end, back-end y aplicaciones móviles. Su enfoque ágil y sumamente profesional fue notable. Sin duda, confiaríamos nuevamente en Delta Protect para asegurar la integridad de nuestros sistemas.
Estoy absolutamente impresionado con la experiencia brindada por Delta Protect. Son, sin duda, el proveedor más responsable y cumplidor que hemos tenido el placer de colaborar.
Mi trayectoria con DeltaProtect se remonta a mi empleo anterior, donde ya tenía contacto con ellos desde el equipo de Ciberseguridad. Solicitamos pruebas de penetración (PT) para aplicaciones web y móviles. Mi experiencia con varios proveedores, grandes y pequeños, me ha demostrado que DeltaProtect se destaca significativamente. Sus informes y hallazgos son superiores, identificando vulnerabilidades que otros proveedores no detectaron. Lo que más valoro es la profundidad de sus pruebas y el enfoque en vulnerabilidades que requieren un análisis más detallado, más allá de los resultados automáticos.
"Delta Protect fue una solución óptima para nosotros. Buscábamos un proveedor bien actualizado técnicamente, que entendiera nuestro modelo de negocio y que nos diera la certeza de poder transmitir solidez a nuestros clientes. El trato del equipo Delta y sus procesos han superado nuestras expectativas, sin duda seguiremos trabajando juntos.”
"¡La experiencia general de trabajar con Delta Protect ha sido simplemente excelente! El equipo responde con velocidad, aclaran todas las preguntas a medida que surgen y el apoyo brindado durante todo el proceso es excelente. Lo Recomendaría sin dudarlo.”
"El servicio de Delta Protect es altamente profesional. Quedamos muy satisfechos con el resultado. Ofrecieron acompañamiento en todo momento para encontrar y solucionar las vulnerabilidades que encontraron en nuestro sistema.”
Políticas de seguridad: Por qué son importantes para tu negocio
Ciberseguridad y Cumplimiento Simplificado para Startups y PYMEs en México y LATAM 🔐
Introducción
Hoy en día, el hecho de estar conectados a internet, corresponde a un riesgo para el sistema en el cual almacena vulnerabilidades en la información. Tanto a nivel personal como laboral, existen formas alternativas de acceder a dicha información sin previa autorización. Es aquí donde las políticas de seguridad de la información ejercen un papel fundamental para establecer un ambiente seguro.
¿Qué son las políticas de seguridad de información?
La ISO/IEC 27001 estable que las “Politicas de Seguridad de Información son preceptos que debe cumplir todo el personal de una compañía, de manera que se asegure su: Integridad, garantizando que la información y sus métodos de proceso son exactos y completos”.
La definición de seguridad de la información en la ISO/IEC 27001 “el conjunto de medidas y procedimientos puesto en marcha por las empresas para proteger la confidencialidad de la información y la disponibilidad e integridad de los datos”
Al ser cumplidas cada una de las medidas y procedimientos, los recursos de tecnología de la información pueden ser gestionados de manera que los principios de confidencialidad, integridad y disponibilidad sean protegidos. Además, dichos principios forman parte de la llamada tríada CIA, que representa las bases de la seguridad informática.
¿Qué es la tríada CIA?
La tríada de la CIA (CIA Triad, en inglés) es un acrónimo que enmarcan a la Confidencialidad (Confidentiality), Integridad (Integrity), Disponibilidad (Availability) como la estructura principal de una organización en cuanto a la seguridad de la información, Cuando ocurre algún incidente de seguridad, ya sea que un usuario fue víctima de phishing, un sitio web sufrió un ciberataque o incluso, si existe una filtración importante de información confidencial (contraseñas, datos personales, copias de seguridad, etc.) significa que al menos uno de los tres principios de la tríada ha sido violado.
Las políticas de información establecen un enfoque fundamental para la seguridad de la información por medio de la documentación de medidas, procedimientos y comportamientos esperados. Todo esto forma parte del objetivo final: la protección de datos.
¿Por qué las empresas tienen políticas de seguridad?
La tecnología avanza, y con ella, incrementan los riesgos de seguridad informática. Cada día encontramos nuevas amenazas que ponen en peligro la información, datos y funcionamiento de nuestros sistemas. Es por eso que las empresas optan por protegerse a través de diferentes herramientas, una de ellas son las políticas de información.
Dentro de las políticas de seguridad, tenemos a los protocolos establecidos donde se deja en claro cuáles son las acciones que el empleado debe evitar, ya que representan amenazas que comprometen la ciberseguridad de la empresa. Por ejemplo, no abrir correos de origen desconocido o cliquear en links de páginas que no están verificadas.
Por otro lado, también se incluyen recomendaciones sobre buenas prácticas de seguridad que ayudan a disminuir las posibles brechas de seguridad, como por ejemplo: elaborar contraseñas con combinaciones de caracteres alfanuméricos, crear copias de seguridad o respaldos y proteger los lugares donde guardamos las contraseñas.
De esta forma, las políticas de seguridad de la información aportan conocimiento práctico a los empleados sobre las medidas de seguridad necesarias para disminuir las vulnerabilidades y mantener protegidos los sistemas de información.
¿Por qué son importantes para las startups y pymes?
Al ser una declaración escrita de protección de los activos TI (Tecnología de la Información) de una pyme, startup o cualquier negocio, que además exige como requisito para las organizaciones el cumplimiento de diversas regulaciones y estándares como GDPR e ISO, las políticas de seguridad información juegan un papel fundamental para el crecimiento y desarrollo de un negocio.
Además, crean estabilidad, continuidad del negocio, y representan seguridad para los clientes de la empresa debido al control y visibilidad de la configuración de los sistemas y la actividad de los usuarios. Lo ideal es que la materia de seguridad de la información quede bien definida, para así establecer la posición que tiene la empresa en cuanto a la gestión de la seguridad de los activos de información.
Por otro lado, la política de seguridad de la información establece un control de acceso para los empleados. De esta forma, se puede conocer específicamente qué empleados pueden acceder a los activos de la empresa que no pueden ser públicos para mantener la confidencialidad de la información.
7 tips para una gestión efectiva de políticas de seguridad
Al momento de gestionar las políticas de seguridad de una empresa es importante tomar en cuenta ciertos aspectos para así garantizar que su funcionamiento sea lo más óptimo posible. A continuación, te hablaremos sobre 7 consejos que debes tener en cuenta para tener una gestión ideal.
1. Mantén una política de seguridad de información actualizada
Uno de los aspectos más importantes al momento de gestionar la política de seguridad de la información es la adaptabilidad. Esto se refiere a que debe ser un plan flexible, capaz adaptarse a las diversas formas de acceder a la información de la empresa.
En este sentido, es ideal mantener una política que esté a la vanguardia en cuanto a la tecnología (dispositivos móviles, computadoras, servidores, unidades de almacenamiento) que se maneja hoy en día para la transmisión y disponibilidad de la información.
Por otro lado, día a día aparecen nuevas amenazas para la ciberseguridad informática, lo cual amerita que las políticas de seguridad nos garanticen una respuesta adecuada ante dichas amenazas que pongan en riesgo el funcionamiento de las organizaciones.
2. Identifica qué excepciones están causando riesgos
Otro aspecto de suma importancia es saber qué tipo de excepciones, en cuanto al acceso de la información empresarial, suponen una vulnerabilidad importante que puede poner en riesgo ciertos datos que no deben ser públicos. Lo ideal es que se haga una revisión de forma periódica de las políticas de seguridad para garantizar que no existe ninguna brecha de alto nivel que pueda comprometer al personal
3. Documenta las políticas de seguridad de información
Una vez establecida la política de la seguridad de la información, es obligatorio documentarla y hacerla llegar a todos los integrantes de la empresa. De esta forma, podrán acceder a ella rápidamente para saber qué pasos seguir, en caso de que ocurra alguna eventualidad que pueda llegar a comprometer información de importancia.
4. Mantén una visibilidad completa de todos los activos digitales
El hecho de tener todos los activos digitales en la misma plataforma, permite que puedan ser vigilados las 24 horas del día para así mantenerlos protegidos de cualquier amenaza cibernética capaz de comprometer la seguridad de dichos activos de la empresa.
En este sentido, gran parte de las políticas de seguridad va enfocada en proteger correctamente cada uno de los activos digitales, que representan un punto de acceso a la información empresarial
5. Personaliza la política
Todas las empresas cuentan con políticas de seguridad similares, ya que cada una tiene distintos objetivos. Esto se debe a que cada organización debe adaptar sus políticas de seguridad de información a las necesidades de la misma. Es por ello que la finalidad de dichas políticas, debe estar en la misma dirección que los objetivos de la organización.
Por ejemplo, las políticas de seguridad de una empresa que trabaja con datos bancarios de clientes va a ser distinta a aquella empresa que no almacena información tan confidencial.
6. Cumple con todas las regulaciones aplicables
Otro factor importante es el hecho de cumplir con las normativas que sean aplicables a los procesos empresariales de información personal, ya sea de los trabajadores, accionistas, clientes, etc. Para ello, cada empresa debe realizar un análisis extenso de riesgos y utilizar medidas de seguridad que cumplan con las normativas que correspondan al nivel de riesgo involucrado.
7. Apóyate de expertos
Por último, es recomendable contactar con expertos en gestión de políticas de seguridad, los cuales van a proporcionar las medidas personalizadas para cada empresa. Gracias a la ayuda de los expertos será más sencillo elaborar una política de seguridad que vaya acorde con el funcionamiento de la empresa y que garantice la seguridad, confidencialidad y disponibilidad de los datos almacenados.
En Delta Protect, contamos con herramientas que permiten automatizar la detección de vulnerabilidades, lo que permitirá identificar brechas o riesgos de seguridad de forma eficaz que pueden poner en peligro la información del personal.
Al automatizar el análisis de las brechas de ciberseguridad, podrás mantener una política de seguridad actualizada, garantizando así que la información delicada se mantenga a salvo de cualquier amenaza externa.
¿Cómo elaborar una política de seguridad?
Elaborar una normativa de seguridad de la información es fundamental para garantizar la confidencialidad de los datos de una organización. En este sentido, es necesario que dichas normas tienen elementos y pasos a seguir para ser establecidas. A continuación te mostraremos algunos de ellos
Especificar el objetivo de la política
Para implementar una política de seguridad de información eficaz, resulta fundamental definir el objetivo que se busca alcanzar a través de dicha política. También es importante que el objetivo planteado sea coherente con las metas estratégicas que se quieren alcanzar.
De esta manera, la política de seguridad se va a convertir en una herramienta para alcanzar las metas de la organización.
Determinar su alcance
Este punto hace referencia a todos aquellos procesos, actividades y personal a los que se les aplican las normas y objetivos planteados en la política de seguridad.
El hecho de especificar cuál es el alcance de las políticas de seguridad de su empresa le permitirá conocer qué aspectos deben ser tomados en cuenta para que esta se cumpla correctamente.
Asignar responsabilidades
Para cumplir los objetivos de seguridad de la seguridad de la información es necesario designar las responsabilidades al personal de la organización. Este punto se encuentra planteado en la norma ISO 27001, donde recomienda contar con personal de ciberseguridad, seguridad de la información y personal responsable de los activos de información.
La Política de Seguridad de la Información, tal como lo plantea la norma ISO 27001, debe indicar los diferentes roles y responsabilidades que tienen las personas de la organización para garantizar el adecuado cumplimiento tanto de esta política como del Sistema de Gestión de Seguridad de la Información.
Delimitar excepciones y sanciones
Otro aspecto importante al momento de estructurar las políticas de seguridad de la información es definir los casos en que una norma no se aplica debido a una razón establecida.
También es necesario incluir todas las sanciones que serán aplicadas en caso de que no se cumpla la normativa que ha sido establecida para mantener la confidencialidad de la información.
Establecer las normas
Es importante publicar las normas o reglas establecidas en la política de seguridad que deben ser cumplidas de forma obligatoria por el personal de la organización, como por ejemplo, la serie de normas a seguir para gestión de vulnerabilidades, gestión de incidentes de seguridad, control de accesos y autenticación de perfiles, para gestión de riesgos y procesos, entre otros.
Adicionalmente, cada organización es libre de instaurar reglas necesarias para garantizar la seguridad de la información.
Conclusiones
Para cumplir con las políticas de seguridad es importante mantener una buena gestión de la misma, ya que se tienen que coordinar todas las medidas de seguridad establecidas para lograr el monitoreo de la actividad de cada activo de la empresa. Además, es importante que cada usuario entienda el funcionamiento de las políticas de seguridad para que pueda llevarlas a cabo, contribuyendo así a la protección de la información de la empresa.
En Delta Protect estamos comprometidos a devolver a las startups y pymes de Latam la privacidad y seguridad cibernética. Conoce más sobre nuestras soluciones de ciberseguridad agendando una demo de Apolo con nuestros expertos.
Experto en Seguridad de la Información con más de 25 años de experiencia en el sector financiero y farmacéutico para diversas empresas en México, como Citibanamex, Banca Mifel, Volkswagen Bank, GBM y SANFER entre otros. Se ha especializado en la gestión de riesgos tecnológicos con la finalidad de sensibilizar a los grupo de Dirección sobre la importancia de certificar a las empresas como medio que agrega valor y confianza a autoridades, clientes e inversionistas.
