Consultoría en Normas de Seguridad

ISO 27001, Esquema Nacional de Seguridad ENS o FIPS 140-2. Conocemos todas las normas de seguridad relevantes. Si vas a ser sometido a una auditoría o evaluación contacta con nosotros.

Solicitar información

Normativas de Seguridad Informática

Existen multitud de normas que prometen garantizar la seguridad de un producto o un sistema mediante la aplicación de diversos controles o mediante auditorías específicas.

Nosotros conocemos todas ellas y podemos ayudarte a conseguir el certificado que tanto ansía tu empresa.

Somos expertos en análisis de riesgos y podemos acompañarte al éxito poniendo nuestra experiencia de tu lado con nuestro servicio de consultoría en normativa de seguridad.

Sea cual sea tu problemática no dudes en contactar con nosotros para ver cómo podemos ayudarte, el cumplimiento normativo sigue siendo el gran desconocido en muchos aspectos y las ventajas que puede aportar parecen plantear múltiples dudas en las organizaciones que lo implantan, y entre las pymes casi no existe aún conciencia sobre la importancia del concepto de compliance, algo que todas las compañías estamos obligadas a cumplir.

Recientes eventos como la proliferación de ransomware más avanzado, ha hecho replantearse a muchas empresas el estado de seguridad de sus sistemas, ¿y tu? ¿ha revisado ya el estado de tu empresa?

Creación de esquemas

Los miembros de jtsec tenemos una gran experiencia en diferentes metodologías y esquemas de evaluación de TI bien conocidos como Common Criteria, FIPS 140-2, Global Platform TEE, FIDO, EMVco o eIDAS Regulation (EU) 910/2014. También hemos participado en diferentes iniciativas innovadoras como el Marco Europeo de Certificación de Ciberseguridad IACS en el sector industrial o el marco de evaluación de Seguridad para el Internet de las Cosas, habiendo apoyado la puesta en marcha de algunos de estos planes.

jtsec puede ser su socio perfecto si necesita definir su propio esquema de certificación de seguridad de TI incluyendo la metodología, requisitos de seguridad, proceso de evaluación/certificación o proceso de acreditación de laboratorio.

FIPS 140-2

FIPS 140-2 es una norma destinada a la validación de módulos criptográficos, tanto software como hardware. Principalmente la conformidad con esta norma implica una correcta implementación del conjunto de algoritmos criptográficos elegidos de acuerdo a los criterios del NIST bajo el CMVP (Cryptographic Module Validation Program) y el CAVP (Cryptographic Algorithm Validation Program) en cuanto a funciones de seguridad aprobadas y tamaños de claves, así como la presencia de un acceso basado en roles y una correcta gestión de las claves. FIPS 140-2 define cuatro niveles de seguridad y contempla entre otros muchos requisitos para proteger contra posibles acceso físicos de los atacantes. Pregunta por nuestro servicio de consultoría FIPS 140-2.

Ver más...

ISO 27001

ISO 27001 es una norma ISO (International Organization for Standarization) pensada para el establecimiento, implementación, mantenimiento y mejora continua de un sistema de seguridad de la información (SGSI), cuyo objetivo será mantener la confidencialidad, integridad y disponibilidad de la información dentro de la organización. Para ello son herramientas imprescindibles la realización de un análisis de riesgos y la gestión de los mismos. El adecuado tratamiento de los riesgos mediante los objetivos de control sugeridos por la norma permitirá mantener el riesgo bajo control. Te ofrecemos servicios profesionales de consultoría ISO 27001. Con nuestra ayuda, tu negocio podrá superar la auditoría ISO 27001. Te ayudaremos a diseñar e implantar los controles que serán revisados por un auditor ISO 27001. Si necesitas obtener una certificación ISO 27001, llámanos.

Ver más...

ENS

El Esquema Nacional de Seguridad es una normativa nacional española que obliga por ley a las administraciones públicas que presten servicios a través de Internet, al cumplimiento de una serie de requisitos en el manejo de la seguridad de la información. De manera similar a ISO 27001, el ENS realiza una gestión de la seguridad basada en los riesgos, si bien proporciona su propia serie de controles y establece de manera obligatoria unas medidas mínimas de seguridad en función de la categoría del sistema. Desde jtsec proporcionamos un servicio de consultoría ENS.

Ver más...

AICPA SOC2

Un informe SOC2 (Service Organization Contol) es un informe basado en el cumplimiento de una guía creada por la AICPA (American Institute of Certified Public Accountants) sobre el cumplimiento de una serie de controles organizacional sobre uno o más de los "principios de servicios de confianza" (TSP) definidos por AICPA, es decir: seguridad, disponibilidad integridad de proceso, confidencialidad y privacidad. Existen dos tipos de informes SOC2 denominados Tipo I y Tipo II en función de si se evalúa la existencia de registros que demuestren la implementación de los controles descritos. Las guías SOC2 están siendo ampliamente utilizadas para certificar la seguridad de los proveedores de servicios en la nube. Si necesitas consultoría SOC2 no dudes en contactarnos.

Ver más...

PCI

Las Normas de seguridad de datos de la industria de tarjetas de pago (PCI DSS) se desarrollaron para fomentar y mejorar la seguridad de los datos del titular de la tarjeta y facilitar la adopción de medidas de seguridad uniformes a nivel mundial. Las PCI DSS proporcionan una referencia de requisitos técnicos y operativos desarrollados para proteger los datos de los titulares de tarjetas. Las PCI DSS se aplican a todas las entidades que participan en el procesamiento de tarjetas de pago, entre las que se incluyen comerciantes, procesadores, adquirientes, entidades emisoras y proveedores de servicios, como también todas las demás entidades que almacenan, procesan o transmiten CHD (datos del titular de la tarjeta) o SAD (datos de autenticación confidenciales). La norma describe 12 requisitos y contempla requisitos de prueba concretos.

FIDO

La FIDO ("Fast IDentity Online") Alliance es un consorcio industrial lanzado en febrero de 2013 para abordar la falta de interoperabilidad entre los dispositivos de autenticación fuerte y los problemas a los que se enfrentan los usuarios al tener que crear y recordar múltiples nombres de usuario y contraseñas. FIDO es el ecosistema más grande del mundo para la autenticación interoperable basada en estándares. Las especificaciones y certificaciones de la FIDO Alliance permiten a las empresas y proveedores de servicios desplegar soluciones de autenticación sólidas que reduzcan la confianza en las contraseñas y protejan contra phishing, ataques de "hombre en el medio" y repetición mediante contraseñas robadas.

Ver más...

RGPD

La UE ha publicado el nuevo Reglamento General de protección de Datos para generar un entorno de legislación común para todos los estados miembro de la Unión Europea, de forma que las leyes de protección de datos existentes se adapten a los nuevos desarrollos tecnológicos, los cuales, han propiciado un crecimiento exponencial del tratamiento de datos personales. Para cumplir con el nuevo reglamento, es necesario que las empresas tengan claro que el concepto de dato personal hace referencia a todos los datos de una persona que hacen que ésta pueda ser identificado o identificable sin un esfuerzo excesivo, de manera que, sean capaces de responder las siguientes cuestiones: ¿Con que datos personales trabajan? ¿Qué tratamientos llevar a cabo sobre dichos datos? ¿Son tratamientos de alto riesgo? ¿Cuál es la finalidad del tratamiento? ¿Qué riesgos conlleva? ¿Qué gravedad y probabilidad de ocurrencia supone? ¿Qué derechos tienen los interesados?

Ver más...