SEGURIDAD INFORMATICA

INTRODUCCION Con el fin de ofrecer un portafolio de servicios de alta calidad tcnica y amplia experiencia en Seguridad Informtica, hemos realizado una unin tcnica entre las empresas Ingesoft y Esteganos Internacional Group, en donde la amplia experiencia y productos de excelente calidad que ha desarrollado la compaa Ingesoft por mas de 5 aos, se unen a la experiencia y conocimiento tcnico de los consultores de la firma Esteganos para ofrecer los mejores servicios en seguridad informtica del mercado.

Los servicios que ofrecemos, los presentamos en modalidad de consultora de acompaamiento, en donde nuestros consultores realizarn tareas de anlisis, diseo e implementacin de cada uno de las fases del proyecto en compaa de personal interno y de esta forma garantizar una transferencia del conocimiento acerca de todo el proyecto. La otra modalidad es un proyecto de seguridad de informacin totalmente desarrollado e implementado por nuestros consultores (solucin llave en mano). Actividades que realizamos:

Seguridad Informtica y computacin forense: Anlisis de Riesgos y vulnerabilidades: esto implica el inventario de los bienes tecnolgicos que son de importancia para la compaa, su anlisis econmico y las vulnerabilidades asociadas a cada uno con el fin de definir el plan de accin en seguridad para asegurar la continuidad de la compaa implementacin de modelos de seguridad siguiendo estndares y normas internacionales de seguridad informtica como ISO 17799, BS 7799, Common Criteria: EIG Ingesoft, ofrece a sus clientes el resultado de la revisin y anlisis de las mejores prcticas internacionales (ISO17799, BS-7799, Common Criteria) contextualizadas en el entorno colombiano y latinoamericano, con el fin de apoyar los procesos de fortalecimiento y mejoramiento continuo de los procesos de Seguridad Informtica, entrenando a las organizaciones en el uso y adecuacin de estas prcticas para el mejor aprovechamiento de los recursos de tecnologa en el marco de sus objetivos de negocio.

Aauditorias tcnicas y operativas a sistemas de Informacin bajo plataformas ISeries, Windows, Unix y Linux:: Check list de auditoria (pruebas tcnicas y operativas) con el fin de encontrar vulnerabilidades en los sistemas de informacin. Estos check list estn disponibles para ambientes Microsoft, ISERIES, unix y redes LAN y WAN. El entregable de esta tarea es el listado de vulnerabilidades de cada sistema y un detalle de las recomendaciones a ejecutar para controlarlas

Pruebas de vulnerabilidad y ethical Hacking: Pruebas de penetracin internas y externas en donde podemos detectar vulnerabilidades en los sistemas de informacin y de esta forma ofrecer las mejores soluciones a las mismas, siguiendo los estndares internaciones y mejores practicas del mercado. El entregable de esta tarea es un compendio de las vulnerabilidades con su anlisis y detalle correspondiente y las recomendaciones a seguir para controlar estas deficiencias del sistema.

Administracin de riesgos en seguridad informtica: EIG Ingesoft conocedor del ambiente de inseguridad informtica inherente al desarrollo de los negocios actuales y sus mltiples variables de anlisis, ofrece a sus clientes opciones, asesora y entrenamiento en metodologas y estrategias internacionales como OCTAVE, As/Nz 4360:2004, como fundamentos de procesos de administracin de sus riesgos de seguridad orientados a cumplir los objetivos de negocio. La administracin de riesgos es una competencia bsica que toda empresa debe desarrollar para el logro de sus objetivos.

Definicin de Polticas y estrategias de seguridad informtica: En este tema EIG - Ingesoft ofrece elementos conceptuales y prcticos para proponer y aterrizar las necesidades de seguridad informtica de una organizacin, procurando a la luz de referentes internacionales (ver seccin Estndares y Normas Internacionales de Seguridad Informtica), establecer las mejores alternativas en los temas crticos de la empresa donde la seguridad informtica articule las necesidades operativas y las estratgicas de la organizacin.

Aspectos jurdicos en seguridad informtica: Los componentes tcnicos y proced mentales propios de la operacin y administracin de la seguridad informtica deben ser afinados y alineados con las implicaciones prcticas y jurdicas que las organizaciones deben considerar para adelantar una labor conforme a la mejor prctica internacional y las regulaciones nacionales. En este sentido, EIG cuenta con aliados estratgicos especializados que en conjunto con los especialistas de seguridad informtica pueden orientar y alinear las prcticas de negocio con las directrices legales vigentes. Continuidad del negocio BCP : Septiembre 11 cambi la historia del mundo. La Continuidad del Negocio es ya un tema conocido y requerido por la alta directiva de las organizaciones. EIG - Ingesoft cuenta con expertos en temas relacionados con las contingencias operativas, tecnolgicas, administracin de la crisis y ejercicios de contingencia. EIG- Ingesoft puede acompaar a su negocio en adoptar las mejoras prcticas internacionales relacionadas con la Continuidad del Negocio.

Gestin de seguridad informtica y manejo de incidentes: EIG Ingesoft cuenta con servicios encaminados en la prestacin de servicios como la

administracin y monitoreo 7x24 de la plataforma de seguridad de las organizaciones. As mismo, EIG - Ingesoft pone a disposicin de sus clientes servicios de pruebas de vulnerabilidad y aseguramiento de la infraestructura de seguridad de la organizacin, en conjunto con el proceso de acompaamiento y consultora en la implementacin de las recomendaciones necesarias para mejorar la seguridad de la plataforma informtica de las organizaciones.

Formacin en Seguridad informtica: EIG - Ingesoft ha construido una lnea de formacin en temas relacionados con la Seguridad Informtica. Para ello cuenta con consultores expertos en distintas reas de Seguridad Informtica, quienes adems tienen una amplia experiencia en los procesos de formacin empresarial. La formacin ofrecida por EIG cubre temas acadmicos, organizacionales y laboratorios de prcticas en las diferentes tecnologas de vanguardia en Seguridad Informtica.

Computacin forense: EIG - Ingesoft procurando un valor agregado para la administracin de la seguridad informtica, ofrece apoyo tcnico, procedimental y jurdico en el evento de establecer y analizar evidencia digital involucrada en un incidente o posible intrusin. Para ello, cuenta con profesionales entrenados en las reas tcnicas y cuenta con apoyo de software y hardware especializado para adelantar estas labores. De igual forma, ofrece en conjunto con socios estratgicos entrenamiento y formacin que genere competencias bsicas en estos temas.

Auditoria y Control Interno: Control Interno o MECI Modelo estndar de control interno: El Gobierno Colombiano mediante Decreto 1599 del 25 de mayo de 2005, establece que a partir de esta fecha, las empresas del estado tendrn un plazo de 24 meses para implantar los componentes del Sistema de Control Interno definidos en el nuevo MECI. EIG - Ingesoft brindar apoyo en la sensibilizacin del modelo y en la implementacin de sus diferentes subsistemas (Control Estratgico, de Gestin y de Evolucin) mediante el uso y aplicacin de los instrumentos definidos por el Departamento Administrativo de la Funcin Pblica para tal fin. o COSO-ERM COCO cadbury KING: Estndares internacionales, orientados a apoyar el logro de los objetivos institucionales mediante la existencia de una adecuada administracin de riesgos y de otros elementos importantes como los Sistemas de Informacin y los mecanismos de monitoreo, han sido generados ltimamente por Organismos Internacionales. EIG - Ingesoft apoya a las organizaciones en la adopcin de estos modelos, mediante procesos de concientizacin o capacitacin que facilitan la implementacin de los diferentes

componentes o a travs de diagnsticos generales (de toda la organizacin) o especficos (de un rea en particular) haciendo uso de las herramientas suministradas por los mismos.

o Sarbanes-Oxley: Como respuesta a los escndalos corporativos de Enron, Worldcom y muchos otras empresas, el Congreso de los Estados Unidos de Amrica aprob el 30 de julio de 2002 la Ley Sarbanes-Oxley, con la principal finalidad de regular la forma en que reportan informacin las empresas que cotizan en las bolsas de valores, la cual fue complementada por la Public Company Accounting Oversight Board (PCAOB) en la Gua de Auditora An Audit of Internal Control Over Financial Reporting Performed in Conjunction with an Audit of Financial Statements. La ley busca aclarar la naturaleza y extensin del trabajo requerido para proveer una opinin de auditora. EIG - Ingesoft apoya a la gerencia de aquellas compaas reguladas por la Ley, en su preparacin para el cumplimiento de las disposiciones reglamentadas en las secciones 302 y 404, mediante el asesoramiento en la implementacin y/o la evaluacin de su Sistema de Control Interno y la documentacin pertinente, permitiendo con ello la definicin del Plan de Mejoramiento ms apropiado. De igual forma, dado que la calidad de la informacin financiera es de gran importancia en este contexto, EIG tambin podr asesorar o evaluar el Control Interno de TI orientado a la Ley, tal como lo establece el documento IT Control Objectives for Sarbanes Oxley). o Control Self Asessment: Control Self-Assessment (CSA) es una herramienta que le ayuda a las organizaciones a mejorar sus habilidades en la bsqueda del cumplimiento de sus objetivos a travs de una adecuada administracin de sus riesgos y controles. Las tcnicas utilizadas en CSA (workshops, cuestionarios, encuestas) pueden ser aplicadas a proyectos, procesos, unidades organizacionales, grupos de empleados que realizan funciones semejantes y en general a cualquier nivel de la organizacin. EIG- Ingesoft apoya a su organizacin en el desarrollo de habilidades y competencias en su grupo de colaboradores para permitir un adecuado empleo de este enfoque.

o Administracin de riesgos de negocio: En la actualidad, las empresas de xito han entendido la importancia que tiene la administracin adecuada de sus riesgos y oportunidades en el logro de sus objetivos de negocio. EIG - Ingesoft apoya a su organizacin en la definicin de las Polticas de Administracin de Riesgos, en el establecimiento de la funcin en la organizacin, la Implementacin de una Metodologa de Administracin de Riesgos de Negocio y brinda asesora en su aplicacin. Abordando el anlisis a partir del conocimiento de su organizacin, de las funciones de negocio y del anlisis de los procesos, acompaando a los dueos de los mismos en las etapas de identificacin de los riesgos, anlisis y valoracin del nivel de exposicin a los riesgos y valoracin de la

efectividad de los controles aplicados, preparacin de planes de mejoramiento y actividades de seguimiento a la gestin del riesgo. o Gerencia de Proyectos: El Project Management Institute (PMI)* define un proyecto como un esfuerzo temporal realizado para crear un producto o servicio nico. La gerencia de proyectos es la planificacin, organizacin, direccin y control de los recursos de la organizacin para alcanzar metas y objetivos especficos dentro de un trmino de tiempo relativamente corto y lograr ventajas competitivas mediante la diferenciacin. EIG - Ingesoft cuenta con un selecto grupo de profesionales para apoyar a su organizacin en la implementacin de metodologas de administracin de proyectos, en el desarrollo de proyectos especficos o capacitando a sus colaboradores en herramientas para mejorar las habilidades y competencias a fin de planear, implantar, controlar actividades y lograr el uso ptimo de los recursos, llegando incluso a acompaarlos en el proceso de certificacin como profesionales en administracin de proyectos, certificacin otorgada por el PMI

Control Interno informtico o IT/Governance: Las organizaciones de hoy, soportan el desarrollo de sus procesos misionales y de apoyo en Tecnologa de la Informacin, llegando a generar altos niveles de dependencia con ella y enfrentando los potenciales riesgos que esto conlleva. En ese mismo orden, la gerencia es consciente de las ventajas y cambios potenciales que puede derivar, para su negocio, el empleo de esta tecnologas y llega a considerar la informacin como uno de los activos ms preciados de su empresa; por esta razn, presta especial importancia a la calidad y la seguridad con que se desarrolla la prestacin de los servicios informticos. Por lo tanto, el desarrollo de un adecuado marco de gobernabilidad de la Tecnologa Informtica IT Governance , se hace imperativo para todo tipo de organizaciones. EIG - Ingesoft ofrece servicios de consultora de evaluacin e identificacin de modelos y estndares de calidad internacional que le faciliten desarrollar una adecuada estructura de relaciones y procesos por medio de los cuales se asegure la gestin y control de la prestacin de servicios informticos as como una adecuada administracin de los riesgos asociados, convirtindola en un generador de valor que habilite el logro de los objetivos del negocio. De igual manera EIG - Ingesoft ofrece servicios de capacitacin y entrenamiento a su personal en esta materia.

o COBIT: Governance, Control and Audit for Information and Related Technology COBIT, es un estndar de amplia acogida a nivel mundial en el que se renen las mejores prcticas de gobernabilidad de TI, que responden a las expectativas de gerentes, usuarios, auditores y entes de regulacin en procura de lograr mejores niveles de control en la prestacin de los servicios informticos.

EIG - Ingesoft cuenta con un selecto grupo de profesionales para brindarle asesora en el proceso de adopcin de COBIT en su organizacin, acompaamiento en el desarrollo de modelos de implementacin y realizacin de evaluaciones independientes a los procesos llevados a cabo en su organizacin, por medio de los cuales se desarrollan y prestan servicios de informacin para brindarle capacitacin a sus funcionarios sobre el contenido de este estndar.

o ITIL: Information Technology Infrastructure Library (ITIL) es un conjunto de mejores prcticas utilizadas para la prestacin de servicios de TI de alta calidad, las cuales representan el consenso en una dcada de trabajo con cientos de profesionales relacionados con el manejo y procesamiento de informacin con recursos de TI. Como es bien sabido, ITIL adopta un enfoque orientado a procesos y establece un modelo de aceptacin mundial que permite a las organizaciones reestructurar, medir y mejorar la Gestin de Servicios de TI, al reconocer que las organizaciones dependen cada vez ms de las TI para alcanzar sus objetivos corporativos; que da como resultado una creciente demanda de servicios TI de calidad que sean consecuentes con los objetivos del negocio y que satisfaga los requisitos y las expectativas de la gerencia. EIG - Ingesoft cuenta con un selecto grupo de profesionales para brindarle asesora en el proceso de adopcin de ITIL en su organizacin, acompaamiento en el desarrollo de modelos de implementacin y realizacin de evaluaciones independientes a los procesos llevados a cabo en su organizacin, por medio de los cuales se desarrollan y prestan servicios de TI para brindarle capacitacin a sus funcionarios sobre el contenido de este estndar. o CMM/SW: El Capability Maturity Model para Software CMM-SW, es un modelo de madurez del desarrollo de software, del SEI-Software Engineering Institute de la Carnie de Mellon University. El abordaje del Modelo de Madurez para TI consiste en el desarrollo de un mtodo de puntuacin mediante el cual una organizacin puede autoevaluar la realidad de la forma como est desarrollando sus actividades y procesos en la funcin de prestar servicios de TI, en una escala que va desde no-existente hasta optimizada (de 0 a 5). EIG - Ingesoft cuenta con un selecto grupo de profesionales para brindarle asesora en el proceso de adopcin de CMM-SW en su organizacin, acompaamiento en el desarrollo de modelos de implementacin y realizacin de evaluaciones independientes a los procesos llevados a cabo en su organizacin por medio de los cuales se desarrollan y prestan servicios de TI para brindarle capacitacin a sus funcionarios sobre el contenido de este estndar.

o Administracin de riesgos en IT: EIG - Ingesoft le brinda apoyo a su organizacin en la seleccin y aplicacin de metodologas de Administracin de Riesgos en los procesos de administracin de

servicios informticos, abordando el anlisis a partir del conocimiento de los procesos de TI, desarrollados por su organizacin, para soportar la funcin de negocio y a partir de stos, brindar asesora y acompaamiento a los responsables de los procesos en las diferentes etapas conducentes a identificar, analizar y valorar el nivel de exposicin a los riesgos relacionados con los servicios de TI, a fin de diagnosticar la efectividad de los controles aplicados, preparar planes de mejoramiento y realizar actividades de seguimiento a la gestin realizada. o Gerencia de proyectos en IT: EIG - Ingesoft cuenta con un selecto grupo de profesionales para soportar a su organizacin en la implementacin de metodologas de administracin de proyectos, acompaamiento en el desarrollo de proyectos especficos o capacitando a sus colaboradores en herramientas para mejorar las habilidades y competencias para planear, implantar, controlar actividades y lograr el uso ptimo de los recursos. Auditoria Interna o Funcin de auditoria interna: EIG - Ingesoft le brinda la posibilidad de acompaar a la funcin de auditora interna de su organizacin, colaborndole en el desarrollo de sus funciones propias, en el desarrollo de evaluaciones de procesos, de sistemas de informacin, de ambiente de control, de anlisis de riesgos y evaluaciones en temas especficos. o Evaluacin de la funcin de auditoria interna: EIG - Ingesoft brinda asesora y apoyo a su organizacin en el proceso de evaluar el desarrollo y desempeo de la funcin de auditoria interna, analizando aspectos como su estructura organizacional, habilidades y competencias de las personas que componen el equipo de de auditoria, estndares aplicados, as como los mtodos y estndares de trabajo aplicados. o Auditoria de procesos y sistemas orientada a riesgos: Las organizaciones de xito, hoy en da, enfrentan un alto grado de dependencia la de las tecnologas de informacin pero as mismo son concientes de que deben administrar adecuadamente los riesgos e implementar medidas de control acordes para hacer de las TI un elemento habilitador de nuevas y mejores oportunidades de negocio. EIG - Ingesoft presta el servicio de evaluar los procesos y sistemas de informacin mediante un enfoque orientado a la identificacin, anlisis y valoracin de los riesgos a fin de determinar oportunidades de mejoramiento previo anlisis de la relacin costo-beneficio del control frente al riesgo, aplicando altos y exigentes estndares de evaluacin, de administracin de riesgos y mejores prcticas de gestin basada en riesgos.

o Evaluacin orientada a estndares internacionales: EIG - Ingesoft le brinda dentro de la gama de su servicios el evaluar su marco general de Control Interno contra estndares internacionales como COSO (Committee of Sponsoring Organizations of the Treadway Commission), COCO, Cadbury o KING, realizando una comparacin y mostrndole a

su organizacin un anlisis de las desviaciones encontradas respecto del estndar seleccionado, proporcionndole adems la configuracin de planes de mejoramiento tendientes a reducir las diferencias encontradas. En temas de Tecnologa de la Informacin, EIG - Ingesoft le brinda a su organizacin la posibilidad de implementar, adaptar o evaluar los procesos de TI frente a estndares internacionales como: ITIL Information Technology Infrastructure Library, conjunto de mejores prcticas utilizadas para en la prestacin de servicios de TI de alta calidad; COBIT -Governance, Control and Audit for Information and Related Technology , estndar de amplia acogida a nivel mundial, en el que se renen las mejores prcticas de gobierno de TI y CMM Capability Maturity Model para Software CMM-SW, modelo de Madurez del desarrollo de software, del SEI-Software Engineering Institute de la Carnie de Mellon University. o Preparacin para la certificacin: EIG - Ingesoft ha integrado un grupo de instructores certificados CISA y CIA con amplia experiencia profesional y docente, con los cuales brinda a su organizacin cursos de preparacin y entrenamiento para que sus profesionales enfrenten el proceso de certificacin como Auditores Internos Certificados. Los cursos tienen como objetivo ofrecer a los participantes un acercamiento al cuerpo de conocimientos bsicos requerido para presentar el examen de certificacin y la posibilidad de realizar simulacros de entrenamiento, apoyados con software especialmente desarrollado para este propsito.

Auditoria informtica o Auditoria en procesos de IT: EIG- Ingesoft apoya a su organizacin en actividades de evaluacin de procesos de Tecnologa Informtica frente a estndares internacionales como COBIT, ITIL, ISO 17799; en las cuales se evala la efectividad de los controles aplicados y la eficiencia de los mismos en relacin con la reduccin de los riesgos inherentes a los procesos desarrollados por su organizacin en cumplimiento de sus objetivos de negocio. Con este tipo de evaluaciones se brindan oportunidades para la actualizacin y ajustes de los procesos y adaptacin del quehacer de su organizacin a los cambios de su entorno. o Auditoria a sistemas de aplicacin: EIG - Ingesoft le provee servicios de Auditora a Sistemas de Informacin, buscando evaluar la idoneidad del Sistema de Control Interno que gobierna los sistemas de aplicacin que soportan los procesos de negocio de su organizacin. Con estas auditoras le brindamos la posibilidad de identificar el estado actual de control con que operan dichos sistemas, identificar oportunidades de mejoramiento y le planteamos recomendaciones orientadas al diseo e implementacin de acciones de control y herramientas que permitan minimizar los riesgos identificados en su operatividad y funcionamiento.

o Evaluacin orientada a estndares internacionales: EIG - Ingesoft le brinda dentro de la gama de su servicios la posibilidad de evaluar el marco general de Control Interno de los procesos de Tecnologa Informtica contra estndares internacionales como COBIT, ITIL, realizando una evaluacin y mostrndole a su organizacin un anlisis de las desviaciones encontradas respecto del estndar seleccionado, proporcionndole adems la configuracin de planes de mejoramiento tendientes a reducir las diferencias encontradas. o Preparacin para la certificacin CISA: EIG - Ingesoft ha integrado un grupo de instructores certificados CISA con amplia experiencia profesional y docente, con los cuales brinda a su organizacin cursos de preparacin y entrenamiento para que sus profesionales enfrenten el proceso de certificacin como Auditores de Sistemas de Informacin Certificados. Los cursos tienen como objetivo ofrecer a los participantes un acercamiento al cuerpo de conocimientos bsicos requerido para presentar el examen de certificacin y la posibilidad de realizar simulacros de entrenamiento, apoyados con software especialmente desarrollado para este propsito. La certificacin CISA (Certified Information Systems Auditor) otorgada por la Information Systems Audit and Control Association (ISACA), es considerada en la actualidad como un requisito para los profesionales que deseen realizar revisiones a la Gobernabilidad de TI, de acuerdo a estndares y directrices aceptados mundialmente.

Acadmicos: Esta seccin est dedicada a promover los proyectos acadmicos en los cuales participa EIG, como apoyo al desarrollo de la investigacin en las diferentes universidades del pas. As mismo, ofrece un glosario bsico con trminos especficos en el rea de seguridad que pueden ser de inters para los visitantes.

Nuestros consultores poseen las siguientes certificaciones: BS 7799-2:2005 Information Security Management System Auditor CEH Certified Ethical Hacker Certified Information Systems Security Professional