ISO 27032
-
¿Qué es la gestión de activos de información?
La gestión de activos de información es una tarea de las gerencias de seguridad o de gestión de la información que involucra el diseño, establecimiento e implementación de un proceso que permita la identificación, valoración, clasificación y tratamiento de los activos de información más importantes del negocio.
Un activo de información en el contexto de la norma ISO/IEC 27001 es: “algo que una organización valora y por lo tanto debe proteger”.
-
Gestión de activos de Información - ISO 27001
Gestión de Activos de Informacióncon el software GRC NovaSec MS
El software NovaSec MS permite que la gestión de información del inventario y la clasificación de activos y ciberactivos sea integral, fácil y ágil.
FUNCIONALIDADES
- Identificar los activos de información, su ubicación, propietario, custodio, dependencias, en dónde se usa, para qué se usa, aspectos legales o de cumplimiento asociados.
- Valorar la criticidad de los activos mediante la calificación de las propiedades de confidencialidad, integridad y disponibilidad u otras que requiera tu organización.
- Clasificar la información y establecer controles para su manejo y tratamiento adecuado.
- Obtener reportes gráficos y de datos del estado de la gestión de activos, obteniendo la matriz de inventario y clasificación de activos, incluyendo la creación de reportes personalizados.
- Gestionar la identificación y tratamiento de los datos personales y la privacidad.
- Crear formularios para registrar la información que requieras para la gestión de activos.
BENEFICIOS
- Mantener de manera fácil y práctica el inventario, valoración y clasificación de los activos de información.
- Cumplir con regulaciones o leyes relacionadas con la gestión de información, la seguridad de la información, la protección de datos personales, la clasificación y el tratamiento adecuado de la información.
- Desplegar de manera práctica y ágil la gestión de activos, disminuyendo los tiempos para la consolidación, actualización, mantenimiento y el reporte.
- Responder rápidamente a las preguntas de interés de los entes de auditoría o control y a las preguntas del negocio relacionadas con la gestión de activos de información.
- Tener el histórico de los cambios, la trazabilidad y notificaciones sobre las actividades de identificación, valoración, clasificación de activos que realicen los procesos.
INTEGRACIONES
- Con el módulo de riesgos de NovaSec MS puedes identificar y gestionar los riesgos de tecnología, continuidad, seguridad de la información, de protección de datos personales y otros relacionados con los activos de información.
- Con el módulo de Ciberseguridad puedes mantener sincronizado automáticamente el inventario de activos con el inventario de un sistema SIEM y observar que activos poseen alarmas, eventos o vulnerabilidades.
- Se pueden asociar a los incidentes los activos afectados por los eventos, teniendo en cuenta su criticidad.
- En el módulo de cumplimiento puedes observar los activos que tienen implementado un control específico de una norma y su estado.
- Establecer indicadores de eficacia de la gestión de activos en el módulo de indicadores o en el módulo de Balanced Scorecard.
-
Software de Gestión de Eventos
Gestión de Eventos de Riesgo con el software GRC NovaSec MS
Los eventos de riesgo deben ser tratados ágil y eficazmente. El software NovaSec MS cuenta con funcionalidades para el reporte, la gestión y tratamiento integral de los eventos de seguridad, de riesgos operativos y de otros sistemas de gestión.
FUNCIONALIDADES
- Reportar los eventos en línea por parte de cualquier colaborador con la información relevante para su identificación y gestión posterior.
- Tener un repositorio centralizado de los eventos, contando con los históricos de los mismos que permitan descubrir información relevante para entender como estos eventos están afectando al negocio.
- Registrar las pérdidas financieras asociadas a los eventos operacionales.
- Permitir construir reportes personalizados relacionados con la información de los eventos de acuerdo a sus características.
BENEFICIOS
- Tener consolidada y disponible toda la información de los eventos ocurridos en la empresa.
- Contar con facilidades para el seguimiento, monitoreo y comunicación de los eventos de los diferentes sistemas de gestión de la empresa.
- Tener la tranquilidad de que se cuenta con la información de los eventos de manera oportuna.
- Obtener rápidamente la información y los reportes relacionados con los eventos de la organización cuando interesados y entes de control lo requieran.
INTEGRACIONES
- Gestionar nuevos riesgos a partir de la información de los eventos registrados.
- Gestionar incidentes a partir de uno o más eventos registrados en el sistema para realizar su tratamiento.
- Obtener eventos críticos de ciberseguridad de manera automática con la integración con sistemas SIEM líderes en el mercado como Splunk, Alien Vault, QRadar, Elastic Search y otros, para que sean relacionados con los incidentes y riesgos a gestionar.
-
Software para gestión de incidentes
Gestión de Incidentes con el software GRC NovaSec MS
Responder adecuadamente a los incidentes que materializan riesgos empresariales requiere de rapidez, coordinación e información oportuna, con el software NovaSec MS esto es posible.
FUNCIONALIDADES
- Identificar y asociar los eventos que generan incidentes de la empresa y su nivel de afectación a los activos de información y a los riesgos.
- Registrar las características de los incidentes, con toda la información relevante para su entendimiento por parte del responsable y el equipo de trabajo.
- Suministrar a los interesados y a los miembros del equipo de respuesta ante incidentes toda la información de cómo se ha identificado, valorado y tratado un incidente en la organización.
- Registrar las actividades realizadas para contener, erradicar y recuperarse de un incidente.
- Definir las lecciones aprendidas a nivel de debilidades y fortalezas para incrementar las capacidades de gestión de incidentes.
- Obtener reportes gráficos para descubrir tendencias, establecer el comportamiento de la gestión de incidentes y aprender de ellos.
- Mantener un histórico centralizado de los incidentes ocurridos, para poder consultarlos en cualquier momento que se requiera y reportar las actividades realizadas en una investigación.
BENEFICIOS
- Contar con una solución en donde los equipos de atención y respuesta puedan registrar, valorar y tratar los incidentes de manera ágil y eficaz.
- Hacer que los datos se conviertan en información valiosa descubriendo cómo los incidentes afectan a la organización y cuál es la tendencia de los mismos.
- Poder identificar cual es la eficacia en la gestión de los incidentes y poder así establecer las capacidades que se deben fortalecer.
- Tener la tranquilidad de que toda la información relacionada con un incidente se encuentra integra y disponible cada vez que se requiera.
- Poder responder fácilmente a los entes de control y de auditoría acerca de la debida diligencia en la atención de incidentes.
INTEGRACIONES
- Con el módulo de Ciberseguridad se puede tener una integración con sistemas SIEM líderes en el mercado como Splunk, Alien Vault, QRadar, Elastic Search y otros, para poder asociar a los incidentes toda la información de los eventos que estos sistemas detectan y envían al GRC NovaSec MS.
- Los incidentes poseen la información relacionada sobre cuáles activos de información fueron afectados por el incidente y que riesgos se materializaron.
- Los reportes permiten ver tendencias acerca del comportamiento de los eventos y las tendencias en la afectación de activos y riesgos.
-
Software para Indicadores de Gestión
Indicadores de Gestión con el software GRC NovaSec MS
La medición a través de indicadores hace parte de las prácticas empresariales claves para la toma de decisiones, por esto su diseño, medición y reporte debe ser ágil y práctico, todo esto lo lograrás con NovaSec MS.
FUNCIONALIDADES
- Diseñar los indicadores que se requieren en la empresa para medir el desempeño de los procesos y de sus sistemas de gestión.
- Obtener los resultados de la medición de los indicadores de manera fácil y ágil con acceso vía web.
- Consultar los reportes gráficos de los indicadores para poder descubrir tendencias y tomar decisiones proactivas, contando con el histórico de sus diferentes valoraciones.
- Definir acciones de mejora con base en el resultado de los indicadores.
- Compartir los indicadores que se deseen para que sean accedidos en línea por parte de los interesados.
- Utilizar variables que el sistema provee de los otros módulos del sistema para obtener los indicadores de manera automática.
BENEFICIOS
- Contar con mecanismos automatizados ágiles a través de los cuales se diseñen, establezcan, implementen y se desplieguen los indicadores de la empresa.
- Tener la disponibilidad de visualizar los resultados de los indicadores en cualquier momento y desde cualquier lugar.
- Estandarizar la manera como se gestiona y se realiza el reporte de los indicadores por parte de los diferentes procesos de la empresa.
- Disminuir los tiempos de consolidación, actualización y reporte de los resultados de los indicadores.
- Hacer que la gestión de los indicadores no sea solo un tema de la dirección o de los sistemas de gestión sino de la operación de los procesos que verán en NovaSec MS una solución del día a día.
INTEGRACIONES
- Se pueden utilizar las variables que NovaSec MS provee de los otros módulos del sistema, de tal forma que obtengan de manera automática indicadores relacionados con la gestión de activos, riesgos, eventos, incidentes, ciberseguridad y otros.
- Se pueden crear indicadores claves de gestión de riesgos KRI tomando como base la información del módulo de gestión de riesgos de la solución.
-
Solución de Ciberseguridad - ISO 27032
Ciberseguridad con el software GRC NovaSec MS
Con NovaSec MS tienes una solución de Gobierno Riesgo y Cumplimiento - GRC que se integra con los sistemas SIEM, para tener una gestión y reporte unificado de los riesgos de ciberseguridad y de seguridad digital y responder eficazmente ante ciberataques.
FUNCIONALIDADES
- Mantener sincronizados los activos tecnológicos descubiertos y monitoreados por el SIEM con los activos de información de los procesos de la organización.
- Mostrar si un activo de información de un proceso de la organización posee alarmas, vulnerabilidades o eventos de seguridad informática críticos.
- Crear riesgos a partir de la información de amenazas, vulnerabilidades y eventos del SIEM.
- Valorar los riesgos de seguridad de la información de los procesos con base en la información de los eventos críticos del SIEM.
- Sugerir la criticidad del activo y la valoración de los riesgos de seguridad de la información con base en la información del SIEM.
- Seleccionar los eventos del SIEM como base para la gestión de incidentes de ciberseguridad, identificando automáticamente los riesgos y activos afectados.
- Obtener reportes integrados de riesgos y de valoración de activos a partir de la información del SIEM.
- Obtener reportes gráficos de: eventos críticos por categoría, por tipo de evento, eventos que se han gestionado como incidentes, tiempos promedio de atención de los incidentes, incidentes presentados en el periodo y su estado de gestión por categorías, riesgos de Ciberseguridad materializados, entre muchos otros.
- Obtener indicadores de la gestión de la Ciberseguridad de manera automática, creando incluso cuadros de mando basados en BSC para demostrar la alineación con los objetivos del negocio.
BENEFICIOS
- Conocer cómo la ciberseguridad afecta a los activos de información y a los riesgos de seguridad de la información de los procesos de la entidad.
- Gestionar de manera integral los riesgos de seguridad digital, ciberseguridad, seguridad de la información y seguridad informática en un solo entorno basado en GRC.
- Estar al tanto desde los procesos del negocio acerca de cuáles son las afectaciones de ciberseguridad en el negocio sin necesidad de conocer el detalle del ámbito técnico.
- Implementar un modelo de prevención, atención y respuesta ante incidentes más eficaz e integral.
- Dar a conocer eficazmente a la alta dirección y a todos los interesados cómo la ciberseguridad afecta directamente al negocio.
- Integrar la información de inventario, vulnerabilidades, amenazas, comportamientos y seguridad inteligente a la gestión de la seguridad de la información de manera transparente.
INTEGRACIONES
- La funcionalidad de Ciberseguridad se integra con la gestión de activos, riesgos, eventos e incidentes para poder tener un modelo integral.
- Se pueden crear indicadores y cuadros de mando para monitorear el cumplimiento de los objetivos de la gestión de la ciberseguridad.
- Se pueden manejar los planes de acción, la auditoría y la mejora continua de la gestión de la ciberseguridad en un solo punto.
- Se puede evaluar y obtener el reporte del nivel de cumplimiento de los controles, normas, estándares y buenas prácticas de gestión de la Ciberseguridad.