Gestión de Seguridad TIC – Technological Risk Management (TRM)
Asesoria IT
- Asesoría para el desarrollo de I+D+i (Investigación, Desarrollo e innovación)
- Servicio idigital-EU
- Servicios de seguridad para entornos virtuales
- Revisión de los servicios de subcontratación en entornos seguros
- Revisión de los modelos de programación basados en Marketplaces o mercado digital e integración en PaaS (Plataformas como servicio)
- Revisión de interface de usuario desde el lado cliente y mejora de la ergonomia cognitiva y de usabilidad.
Auditoria Cloud
- Implicación e interpretación de la legislación vigente correspondiente en buen Gobierno TIC
- Revisión de legislación Europea en protección de datos personales e implicación en Cloud Computing (Internet)
- Revisión de legislación de delitos informáticos en Cloud Computing (Internet)
- Análisis forense y peritajes informáticos
- Revisión de Convenios Marcos en servicios de Cloud Computing
- Segregación de responsabilidades en servicios de Cloud Computing
- Servicios de orientación en seguridad de Información (pymes)
- Asesoramiento en la adecuación de Normas de Adquisición y contratación de servicios TIC para mejorar la seguridad (administración pública)
Administración de identidadades y acceso a servicios en Cloud Computing (Internet)
Auditoría de Sistemas
- Análisis de riesgos y vulnerabilidades
- Estudio de viabilidad de Planes Directores de seguridad integral y calidad
Cumplimiento de la LOPD y normativa vigente
- Detección, Identificación de activos, Notificación y revisión de la LOPD (Lei Orgánica de Protección de Datos)
- Creación y revisión del Documento de seguridad
Forénsica, LOPD
- Estudio de acciones sucedidas en los sistemas de las empresas
- Detección de intrusiones
Formación TRM
- Formación de Data Protection Officer en el Sector Sanitario
- Formación de responsables de Seguridad IT en Cloud Computing
- Formación y acompañamiento en prácticas de Directores de Seguridad para Infraestructuras Críticas (Puertos, Centros de I+D+i, Instalaciones de Telecomunicaciones)
- Formación para el desarrollo de Planes de Seguridad
- Formación en Facturacion electrónica y uso de identidad digital
- Formación de Supervisores en entornos de Redes Sociales
Gestión Seguridad IT
- Revisión del despliegue de redes de última generación y aplicaciones basadas en cloud computing
- Gestión de la identidad, gestión de credenciales, gestión de claves y gestión del acceso en el cloud computing
- Confianza y gestión de políticas en cloud computing
- Revisión de Seguridad de red (DDoS, IDS, etc) en entornos Cloud Computing
- Seguridad de extremo a extremo y revisión de la confidencialidad en el tratamiento de datos en Movilidad (smartphones, tabletas y otros dispositivos móviles)
- Revisión de las tecnologías de seguridad y servicios en la nube utilizados (HSM, filtros de web, firewalls, …)
- Revisión del uso de módulos de computación de confianza
- Asesoramiento en la adecuación de normas para mejorar la seguridad en la nube, aumentar la fiabilidad y mejorar la continuidad del negocio
Políticas Seguridad
- Presentación de informes de incidentes y de incumplimientos en protección de datos y privacidad en cloud Computing
- Revisión de las politicas de seguridad en Centros de Negocios y entornos de co-working
- Revisión de Planes estratégicos Internacionales en Cloud Computing
- Protección de Infraestructuras Críticas (Seguridad Física y Lógica)
- Protección de Infraestructuras de Información Críticas (Seguridad Fisca, Seguridad Lógica)
- Planes de respuesta a incidentes y recuperación de desastres en entornos Cloud Computing híbridos.
- Planes de recuperación de la responsabilidad social Corporativa frente a desastres
Supervisión Gobierno TIC
- Revisión de Convenios Marco para la gobernanza, seguridad y madurez del Cloud Computing
- Revisión de garantías en toda la cadena de suministro del Cloud Computing
- Aplicación de políticas de seguridad y pruebas de seguridad en Cloud Computing
- Revisión de la clasificación de los datos en cloud computing
- Certificado de Auditoria de Impresión y destrucción de soportes
- Revisión de la seguridad en Cloud Computing y métricas de capacidad para la recuperación de los procesos de negocio.
- Planes de continuidad del negocio y capacidad de recuperación para los clientes usufructuarios del cloud computing.
- Mejora continua de procesos de negocio
Casos de éxito
- IT Governance en el Sector Sanitario un caso práctico (http://www.epractice.eu/en/cases/ehealthitgovernance)
Iniciado como idea en Febrero de 2005 , y desarrollado durante los años 2007 al 2009, es uno de los proyectos pioneros en temas de protección de datos por diferenciar claramente la Gestión de la seguridad integral del Gobierno de la Seguridad Integral en los centros de Atención Primaria gestionados por Equipos de Base Asociativa, el objeto de gobierno son los datos del paciente.
Para ello, se crean los Data Protection Officers, garantes de la Seguridad Integral y calidad de los datos personales gestionados por su Unidad de Negocio y supervisados por el Comité de Seguridad. Todos los Data Protection Officer reciben la formación Organizativa, Legal y Técnica, adecuadas a sus funciones competenciales en el ámbito de la Salud, Eficiencia Energética y Principio de Segregación de responsabilidades.
Una de las dificultades que tuvimos en este proyecto, estuvo en demostrar a la Administración Pública de Salud de la Generalitat de Catalunya (buscar link) y a la propia Autoritat Catalana de Protecció de Dades (http://www.apd.cat/ca/index.php), que este centro singular era el responsable del tratamiento de los datos no el Responsable del Fichero de Titularidad Pública. De esta forma nace el concepto de Cloud Público eHealth, en donde cada uno de los Proveedores de Salud son los responsables del tratamiento del Cloud Público eHealth.
Actualmente, este modelo de Organización en este centro de Salud está obteniendo un ROI anual de 300.000,00 € a 499.000,00 € y la inversión inicial fue de 110.000,00 € , el grado de satisfacción de los usuarios de este centro es elevado.
En el año 2009, se presentó como ponéncia en las Jornadas de INTECO como un ejemplo en Administración electrónica Segura en eHealth.
Admitido en el año 2010, en VI premios a las Mejores Prácticas Internacionales en materia de Protección de Datos de la Agencia de Protección de Datos de la Comunidad de Madrid.
Actualmente la implicación del personal técnico, administrativo, facultativo y de enfermería en la protección de los datos del paciente, su gestión y gobierno es realmente admirable.