Experiencias

El análisis de riesgos como denominador común

Usuario escribiendo usuario y contraseña en una interfaz futurista.

Seguridad IT
Normativa de seguridad
ENS
RGPD
Diseño SGSI
Ciberriesgos
ePULPO
MAGERIT
PILAR

Nuestro proyecto en CESCE representa un ejemplo real que demuestra la eficacia de nuestro "Modelo integral de gestión de la Seguridad y Compliance TI" bajo un eje común: el análisis y la gestión de riesgos.

Desplegamos en CESCE nuestra estrategia global de Seguridad y Compliance TI

Un proyecto paradigmático en el que conseguimos aunar sinergias y aspectos comunes entre el estándar ISO 27001 y la diferente normativa de seguridad (Esquema Nacional de Seguridad) y privacidad (Reglamento General de Protección de Datos). Desde la fase de diseño hasta la auditoría final, pasando por todo el proceso de implementación y monitorización, el proyecto ha culminado con éxito, logrando la certificación ISO 27001 del Sistema de Gestión de la Seguridad de la Información (SGSI) de CESCE.

Bajo el enfoque del análisis de riesgos de seguridad como uno de los ejes comunes a la diferente normativa, se procedió a aplicar la internacionalmente reconocida metodología MAGERIT y la herramienta PILAR. Al abordar el proceso de análisis y gestión de riesgos bajo esta visión multinorma, obtuvimos una única hoja de ruta para llevar a cabo las iniciativas de seguridad y privacidad, logrando la máxima eficacia.

CESCE

CESCE (Compañía Española de Seguros de Crédito a la Exportación) es una de las firmas de gestión de riesgo comercial más importante de España, presente en 9 países. Cabecera de un grupo de empresas que ofrece soluciones integrales para la gestión del crédito comercial en parte de Europa y Latinoamérica. Es el 4.º Grupo mundial y el 2.º de España en crédito y en caución.

CESCE es también la Agencia de Crédito a la Exportación (ECA) española que gestiona el seguro de crédito a la exportación por cuenta del Estado en España.

Precisamente por ese carácter de sociedad mercantil estatal, CESCE debe atender con especial interés las obligaciones del ámbito de la Seguridad de la Información implantando un sistema basado en el código de practicas definidas en la norma UNE-ISO/IEC 27001.

Múltiples necesidades con un denominador común

CESCE planteaba la necesidad de cubrir 3 ejes básicos para la adecuación de los procesos y gestión de la seguridad de sus Sistemas de Información de acuerdo a la normativa vigente:

Diseño, implantación y certificación Sistema de Gestión de Seguridad de la Información (SGSI), según la norma UNE-ISO/IEC 27001. Siendo un requisito clave, obtener dicha certificación en el año en curso (2018).
Análisis de riesgos y mejora de los procesos internos para reducir el nivel de riesgo en el tratamiento y uso de la información.
Cumplimiento de la normativa española que entraba en vigor, el Reglamento General de Protección de datos (RGPD), así como el Esquema Nacional de Seguridad (ENS).

En este punto, abordamos este proyecto bajo nuestro enfoque integral de la Seguridad y Compliance, partiendo del análisis de riesgos.

Desplegamos 3 líneas de acción

1

Diseño SGSI

Análisis, diseño, implantación y auditoría de un SGSI. Gracias a esta acción, CESCE obtuvo su certificación ISO 27001, sin ninguna subsanación y en un tiempo récord.
2

RGPD y ENS

Inclusión de los requisitos del ENS y el RGPD en el plan para lograr su cumplimiento.
3

Implantación ePULPO

Una herramienta que les permitirá optimizar los procesos, centralización y monitorización de la gestión de la seguridad de la información de la organización.

Servicios relacionados

PRODUCTO

ePULPO, nueva versión

Plataforma GRC para la gestión integral de los procesos TI y de seguridad de la información. Proporciona apoyo para el cumplimiento normativo y estándares establecidos: RGPD, ENS, SGSI (basado en ISO 27001); así como en ITIL e ISO 20000, en el ámbito la gestión de servicios. Integración con PILAR y LUCIA.