¿En qué consiste el servicio de CISO On Demand?
El servicio de Oficial en Jefe de Seguridad de la Información Chief Information Security Officer, CISO on demand (bajo demanda)
o Virtual CISO, es un servicio que ayuda a tu organización a enfocarse a la esencia de tu negocio mientras nosotros nos encargamos con los asuntos relacionados con la seguridad de la información, teniendo constante
comunicación con otros ejecutivos para dictar las políticas y controles de seguridad necesarios para mantener segura la organización.
Un experto certificado estará al tanto de la estrategia de negocios de tu organización para transformar a la seguridad de
la información de un stoper a un enabler, es decir de un obstáculo a un habilitador del negocio.
Es bien sabido que el talento en puestos de Seguridad de la Información y Ciber seguridad está escaso y el poco que se encuentra es muy costoso
por esta razón lanzamos este servicio para ayudar a las empresas pequeñas, medianas, startups y FinTech a tener esta utilidad a una fracción del
coste pero obteniendo los mejores beneficios, por ejemplo, el CISO se puede encargar de:
- Establecimiento del Sistema de Gestión de Seguridad de la Información
- Establecer los lineamientos para el adecuado control de riesgos
- Responder ante los clientes sobre temas relevantes de Seguridad de la Información y Ciber seguridad
- Decidir sobre los estándares, el marco y el cumplimiento
- Revisar / crear políticas y procedimientos
- Evaluar amenazas, vulnerabilidades y riesgos
- Crear un plan de recuperación ante desastres y gestión de incidentes
- Implementar controles de seguridad
- Realizar capacitaciones
- Realizar auditoría interna
- Proporcionar informes regulares listos para las partes interesadas
- Contar con un auditor externo neutral para proporcionar una evaluación de seguridad imparcial.
¿Cuáles son las ventajas de contar con un CISO Virtual?
- Reducir costes
Mantener tu organización lo más segura posible por la fracción del coste de un CISO competente de tiempo completo
- Contar con un CISO experimentado que ha colaborado con compañías del Fortune 100
Nuestros CISO cuentan con experiencia de haber trabajado en empresas listadas en el Fortune 100, lo cual incluye los conocimientos
más frescos de la industria y las mejores prácticas para mantener a tu organización con la menor cantidad de vulnerabilidades posible,
la amplia experiencia en Seguridad de la información y Ciber seguridad de los CISOs virtuales nos permite ofrecer resultados, valor,
protección y visión.
- Flexibilidad
Contamos con diferentes planes y paquetes que se adaptarán a tu presupuesto, tiempos y recursos, herramientas y situaciones actuales
- Agnóstico de marcas
Contamos con un enfoque de proveedor neutral donde cada herramienta y solución que recomendemos será basada en las condiciones de su
organización buscando siempre el mejor beneficio y protección a largo plazo sin importar que marca sea
- Siempre actualizado
Los atacantes y amenazas están en constante evolución, nuestros CISOs también están en constante entrenamiento sobre los nuevos ataques
y las tecnologías, metodologías, herramientas, etc. para hacerles frente, al igual que cuentan con certificaciones con reconocimiento
internacional.
¿Se puede contratar solo por algún proyecto o bien solo para ciertas consultas?
Desde luego, lo que nos importa en Klbrs es que cualquier compañía sin importar su tamaño o presupuesto cuente con las protecciones mínimas necesarias para proporcionar a sus clientes confianza y puedan operar a largo plazo, así que cualquiera que sea la necesidad podemos ayudarles u orientarlos sobre comó se puede dar solución a los problemas más complejos.
¿A quién va dirigido el servicio?
El servicio realmente va dirigido a organizaciones de cualquier tamaño y giro pues todas requieren de Seguridad de la Información o
Ciber seguridad, algunos de las ventajas que puede encontrar cada tipo de organización son las siguientes:
- StartUps
Cuando una empresa está por arrancar o bien en sus inicios tiene muchas cosas por las que preocuparse y la seguridad es una de las
principales, por lo que antes de este tipo de servicios las organizaciones debían gastar una buena parte de su presupuesto inicial en contratar a un
experto en Seguridad de la Información o ciberseguridad para que los orientara y protegiera; y muchas veces los perfiles no eran
cubiertos al 100% y podría ser que se contrate personal que es más administrativo que técnico y se deje llevar por proveedores o
incluso haga recomendaciones que no son las más apropiadas para una StartUp. Con nuestro servicio se obtendrá una estrategia que
se acopla al objetivo y planeamiento estrategia general de la organización.
- Empresas pequeñas y medianas
Este tipo de empresas cuentan con un presupuesto reducido y regularmente dejan la seguridad de la información en manos del área
de soporte técnico y/o sistemas y a pesar de que este personal hace su mejor esfuerzo se queda corto pues son muchas cosas las
que se deben tener en cuanta en una posición como esta, lo cual deja a la empresa con una falta sensación de seguridad que podría
resultar catastrófica para la organización pues, hay estudios que indican que una empresa de este tipo que es atacada puede salir
del mercado en 6 meses, este tipo de cosas son las que tratamos de evitar.
- Grandes organizaciones
Las grandes organizaciones también se pueden beneficiar desde varios ángulos, por ejemplo: si están en transición de posiciones
pueden contratar este servicio por un tiempo determinado o incluso usarlo para entrevistar al nuevo CISO permanente, o personal
de seguridad que se va a integrar. También si requiere de un punto de vista imparcial o auditar lo que se está haciendo al
interior y estar seguros de que se están siguiendo las mejores prácticas y las mejores soluciones actuales.
- FinTech
Te ayudamos a cumplir con el artículo 65, 66 y demás artículos relacionados de las Disposiciones de carácter general aplicables a las instituciones de tecnología financiera. a continuación proporcionamos más detalle al respecto.
¿Con este servicio puedo cumplir con la Ley FinTech en materia de seguridad de la información?
La ley FinTech va más allá de solo contar con un CISO, pero hay diversos artículos que explícitamente mencionan contar con esta
figura en la FinTech, y sí, nuestro servicio puede cumplir con los artículos 65 y 66 por ejemplo que mencionan lo siguiente:
Artículo 65.- Las instituciones de financiamiento colectivo deberán contar con una persona que, entre sus funciones, se desempeñe
como oficial en jefe de seguridad de la información, conocido como CISO por sus siglas en inglés
(Chief Information Security Officer).
El oficial en jefe de seguridad de la información deberá ser designado por el director general o, en su caso, por el administrador
único, debiendo informales, y no deberá tener conflictos de interés respecto del responsable de las funciones de auditoría y
tecnologías de la información que existan dentro de la institución de financiamiento colectivo. Asimismo, no podrá realizar las
funciones relacionadas con la operación de la seguridad de la información de la propia institución de financiamiento colectivo.
Las funciones del oficial en jefe de seguridad de la información podrán ser realizadas por un tercero, siempre que se ajuste a lo
señalado en el presente artículo.
El oficial en jefe de seguridad de la información podrá apoyarse, para el ejercicio de sus funciones en representantes de las
diferentes unidades de negocio.
Las instituciones de financiamiento colectivo podrán designar como oficial en jefe de seguridad de la información al director
general, o en su caso, al administrador único, durante un plazo máximo de doce meses, contados a partir de la fecha en que
obtengan la autorización para actuar como tales.
Artículo 66.- El oficial en jefe de seguridad de la información de la institución de financiamiento colectivo deberá, al menos:
I. Participar en la definición y verificar la implementación y continuo cumplimiento de las políticas y procedimientos de
seguridad señalados en el artículo 63 de las presentes disposiciones.
II. Elaborar el Plan Director de Seguridad, el cual deberá contener, por cada proyecto que se defina, nombre del proyecto,
objetivo, alcance, fechas de inicio y fin, áreas involucradas y la inversión proyectada. Dicho plan deberá revisarse y actualizarse,
al menos, anualmente.
III. Verificar, al menos anualmente, la definición de los perfiles de acceso a la Infraestructura Tecnológica de la institución de
financiamiento colectivo, ya sea propia o provista por terceros, de acuerdo con los perfiles de puestos (segregación funcional),
incluyendo aquellos con altos privilegios, tales como administración de sistemas operativos, bases de datos y aplicativos.
IV. Asegurarse al menos anualmente, o antes en caso de presentarse un Incidente de Seguridad de la Información, de la correcta asignación
de los perfiles de acceso a los Usuarios de la Infraestructura Tecnológica. La función a que se refiere esta fracción podrá realizarse
mediante muestras representativas y aleatorias.
Asimismo, será responsable de la autorización temporal de los accesos por excepción, tales como los de usuarios de ambientes de desarrollo
con accesos a ambientes de producción, accesos por eventos de contingencia o cualquier otro acceso privilegiado que no corresponda con la
política determinada por la institución de financiamiento colectivo. Igualmente, deberá contar con un registro que contenga el nombre del
Usuario de la Infraestructura Tecnológica, aplicación asociada, ambiente, motivo de la excepción y fecha de inicio y de fin de la asignación.
V. Aprobar y verificar el cumplimiento de las medidas que se hayan adoptado para subsanar deficiencias detectadas con motivo de las
funciones a que se refieren las fracciones III y IV de este artículo, así como de los hallazgos de las auditorías realizadas relacionadas
con la Infraestructura Tecnológica y de seguridad de la información.
VI. Gestionar las alertas de seguridad de la información comunicadas por la CNBV u otros medios, así como los Incidentes de Seguridad de la
Información, considerando las etapas de identificación, protección, detección, respuesta y recuperación.
VII. Coordinar y presidir en la institución de financiamiento colectivo, el equipo para la detección y respuesta de Incidentes de Seguridad
de la Información.
VIII. Informar al Órgano de Administración o, en caso de contar con un comité de auditoría y un comité de riesgos a estos, en su sesión
inmediata siguiente, según resulte aplicable, a la verificación del Incidente de Seguridad de la Información, respecto de las acciones
tomadas y del seguimiento a las medidas para prevenir o evitar que se presenten nuevamente los mencionados incidentes.
IX. Proponer y coordinar los programas de formación dirigidos a todo el personal, así como de concienciación en materia de seguridad de
la información hacia los Clientes, y verificar su efectividad.
X. Presentar mensualmente al director general o, en su caso, al administrador único, el informe de gestión en materia de seguridad de la
información. Este informe deberá efectuarse al comité de auditoría y al comité de riesgos o, en ausencia de estos, al consejo de
administración de la institución de financiamiento colectivo.
XI. Considerar, al menos, los indicadores de riesgo en materia de seguridad de la información establecidos en el Anexo 13 de estas
disposiciones, e informar del resultado de la evaluación de dichos indicadores al Órgano de Administración, y en su caso, al comité de
auditoría o comité de riesgos.
XII. Ser el responsable de la implementación de la regulación que, en materia de seguridad de la información, emitan otras Autoridades Financieras.
XIII. Responder a los requerimientos formulados por las autoridades y al interior de la institución de financiamiento colectivo en materia
de seguridad de la información.
¿Cuál es el coste de un servicio de este tipo?
El coste varía de acuerdo a la necesidad específica de cada organización, pues el perfil del experto variará en función de esto, pero como todos nuestros servicios van enfocados a las pequeñas y medianas empresas contamos con paquetes desde una hora hasta un CISO de tiempo completo.
