Los riesgos relacionados con la seguridad de la información y con la privacidad de los datos tienen un alto impacto en el negocio, entre otros: pérdidas financieras,  daños a la reputación y a la operación de las organizaciones.

Las amenazas son crecientes y variadas: Fraude, espionaje, sabotaje o interrupción de las comunicaciones, intrusiones en sus diferentes modalidades como por ej.  virus informáticos, “hacking” o los ataques de denegación de servicio;  riesgos de sufrir incidentes causados por terceros o por fallas humanas y accidentes derivados de catástrofes naturales.

El nivel de seguridad alcanzado por medios técnicos es limitado e insuficiente por sí mismo. El modelo de una gestión efectiva de la seguridad debe involucrar a toda la organización, sus clientes y proveedores, además de contemplar procedimientos adecuados relacionados con la planificación e implementación de controles de seguridad basados en una evaluación de riesgos y en una medición de la eficacia de los mismos.

Los riesgos de la seguridad de la información deben ser conocidos, asumidos, gestionados y minimizados por la organización y adaptados a los cambios que se produzcan en los riesgos, el entorno, las tecnologías  y la legislación aplicable tales como las Leyes de Protección de Datos Personales aplicables en la Argentina (25.326), en España (Ley Orgánica 15/1999) y en USA (Ley Sarbanes-Oxley).

La seguridad de las organizaciones debe estar integrada con los procesos de negocio y los sistemas de información asociados deben brindar la adecuada protección a los activos de la organización (incluye recursos humanos, propiedad intelectual y los datos de los clientes).

Para cubrir las necesidades descriptas precedentemente, Simbius le ofrece implementar un Sistema de Gestión de Seguridad de la Información (SGSI)  basado en prácticas internacionales de excelencia (ITIL, ISO27.001) y en un óptimo aprovechamiento de las herramientas de IT.

Consultoría de Seguridad Información y Privacidad (PDP)

La primera actividad del especialista asignado a su organización es un relevamiento y diagnostico inicial lo que permitirá acordar y  dimensionar las actividades posteriores según un esquema analogo al siguiente:

• Plan (planificar): Establecer el SGSI. Incluye definir: alcance, procesos, políticas de seguridad, normas aplicables (ej. Ley 25.326 de Protección de Datos Personales, SOX (Ley Sarbanes Oxley), gestión del riesgo (metodologías, activos, evaluación etc), objetivo y tipos de controles a aplicar y los recursos.

• Do (hacer): Implementar y utilizar el SGSI incluye: plan sobre riesgos, procedimientos, controles, indicadores y métricas, programas de formación y concientización, gestión de operaciones y recursos, registro de acciones y eventos.

• Check (verificar): Monitoreo y revision del SGSI incluye: ejecutar procedimientos, revisar efectividad del sistema y controles según politica de seguridad y objetivos definidos, revisar riesgos residuales y su nivel aceptable, realizar auditorias, revision por la dirección y actualizar planes de seguridad.

• Act (actuar): mantener y mejorar el SGSI incluye: implementar mejoras, acciones preventivas y correctivas identificadas, comunicarlas y asegurarse que se alcanza los objetivos previstos.

Con un Sistema de Gestión de Seguridad de la Información (SGSI) la organización conoce los riesgos a los que está sometida su información y los asume, minimiza, transfiere o controla de forma sistemática, repetible, definida, documentada, eficiente y conocida por todos, lo cual se revisa y mejora constantemente.

SIMBIUS X-WORKFLOW PDP
La solución permite automatizar de forma integrada todos los flujos de datos y procesos administrativos, controles de autorización, verificaciones de datos y contacto de personas involucradas. Es una herramienta web necesaria para formalizar procesos de camino crítico. La plataforma permite asegurar que dentro del mismo, cada componente del proceso cumpla siempre todos los pasos definidos en los procesos. Posibilita conocer en cada momento el estado en el que se encuentra y brinda, de forma online, una lista actualizada de los pasos a cada responsable. Ellos pueden acceder a la información de los documentos pendientes para su análisis/aprobación, con indicación de plazos disponibles ó vencidos. El X WorkFlow genera en forma automática comunicaciones a través de las vías existentes, de los desvíos que se produzcan a las instancias de control que se definieron previamente. Su diseño gráfico es intuitivo por lo que requiere de una mínima capacitación para su administración y uso.