Para mejorar adecuadamente su resiliencia en ciberseguridad, es importante tener una línea base del nivel de seguridad actual. Una vez conocido el nivel actual, se pueden realizar tareas priorizadas para aumentar las áreas con mayor riesgo o el mayor retorno de la inversión. Nuestra Evaluación de Madurez de Ciberseguridad evalúa su postura actual en ciberseguridad con base en los Controles Críticos de Seguridad CIS, también conocidos como Controles CIS. La evaluación se enriquece aún más con la inspiración de otros marcos estándar de la industria. La metodología y la evaluación se basan en entrevistas, revisión de documentos y configuraciones, junto con pruebas técnicas. La evaluación se complementa con una hoja de ruta con tareas priorizadas para mejorar la seguridad. La priorización de las tareas se basa en un enfoque basado en el riesgo que garantiza mantener el enfoque en las tareas que aumentan al máximo la resiliencia en ciberseguridad, además de garantizar un alto retorno de la inversión.

Servicio

Valor

Entregables

• Visión general de la madurez de la ciberseguridad basada en 18 grupos de control diferentes.

• El uso de un marco estandarizado de acceso público permite una fácil comparación entre empresas y garantiza que pueda entregarse independientemente del proveedor.

• Tareas priorizadas para aumentar la seguridad donde proporciona el mayor valor en función del riesgo y la economía.

• Resumen ejecutivo que indica la postura de seguridad actual y los desafíos para aumentarla lo suficiente.

• Puntuación de madurez de seguridad de 0 a 100, basada en el marco de control CIS. Esta puntuación permite realizar comparaciones con otras organizaciones del mismo sector y tamaño.

• Hoja de ruta sobre cómo aumentar la postura de seguridad con tareas específicas y priorizadas.

• Las vulnerabilidades críticas o severas que representan una gran amenaza actual para la organización se informan durante el proyecto y se resumen en el apéndice de la hoja de ruta.

Metodología

La evaluación se basa en el marco de Controles CIS, que contiene 18 grupos de control, con un total aproximado de 200 subcontroles. Para cada uno de estos subcontroles, buscamos determinar:

• ¿Hasta qué punto existe una política para el subcontrol?

• ¿Está implementado técnicamente y cómo?

• ¿Se aplica técnicamente el subcontrol y cómo?

• Cómo se realiza el informe para el subcontrol

Esta información se obtiene mediante entrevistas a empleados clave, revisión de documentos y configuraciones, y pruebas técnicas. Algunas pruebas técnicas irán más allá de lo que cubre el marco de Controles CIS, ya que hemos añadido comprobaciones de seguridad técnica adicionales, basándonos en nuestro conocimiento de las técnicas de piratería informática y las mejores prácticas.

Desarrollo

Antes de comenzar el proyecto, necesitaremos varios tipos de documentos. Según nuestra experiencia, no muchas organizaciones tienen esta información a mano, por lo que puede llevar tiempo desarrollarla o identificar dónde se almacena. Estos incluyen documentos como documentación de red, documentación de VLAN, reglas de firewall, políticas internas de TI, etc.

Al comienzo del proyecto, necesitamos tener entrevistas con empleados clave, como el jefe de TI, los empleados responsables de AV/EDR, correo electrónico, estaciones de trabajo, servidores, red, soporte al usuario, etc. Esto generalmente se realiza con todos en una reunión grande, que toma entre 2 y 8 horas dependiendo de la complejidad de la infraestructura y las discusiones internas.

Después de esta participación inicial, se requieren recursos limitados y, por lo general, sólo para preguntas ocasionales.