La ISO27001 no solo ayuda a aumentar el nivel de seguridad de la organización sino que ayuda a aportar una mejor imagen al exterior, a clientes y proveedores, así como esta siendo cada día mas demandada por terceras entidades publicas y privadas. Mis clientes no siempre quieren obtener el sello oficial ISO27001 sino que optan por adaptar su forma de trabajo interna para mejorar en términos de seguridad de la información y ciberseguridad.

Con mi metodología apoyado de una herramienta basada en el gestor de contenidos Confluence la empresa no parte de cero ya que le proporciono facilidades y plantillas para que su equipo tenga un importante punto de partida y entorno a un 60% del trabajo ya realizado. Contacte conmigo aquí

Como punto diferencial trabajo este tipo de auditorias en modalidad proyecto llave en mano donde generalmente me contratan la consultoría y asesoramiento previo para cumplir con la normativa, pre-auditoria, auditoria y documentación completa (4 documentos). De esta manera mis clientes solo tienen que centrarse en adaptar su solución a los puntos de NO conformidades que detecte. Actualmente, en linea directa con la Agencia Tributaria dispongo de un checklist que asegura el éxito y la certificación en cuestión de pocas semanas (en función del proyecto).

La colaboración suele tener las siguientes fases: Formación al equipo técnico cliente y detección no conformidades, asesoramiento, pre-auditoria, auditoria y documentación.

En una primera fase comprobamos que, en rasgos generales y siempre siguiendo los criterios de la OMC, que el software cumple con una serie de requisitos establecidos. En una segunda fase se realizara la auditoria final, tomando evidencias de todos los puntos de control y requisitos que marca esta certificación.

La auditoria tiene una serie de pasos: Estudiar los requisitos de homologación, analizar el sistema objeto de la certificación, evidenciar el cumplimiento de los puntos de control, seguridad, privacidad, documental, etc así como otras cuestiones como analizar el plan de continuidad de negocio, operaciones, plan de recuperación ante desastres o DRP, plan de comunicación interna y externa de incidentes o crisis, plan de respuesta y contingencia del sistema de información ante incidentes….

En España la Resolución de 6 de octubre de 2014, de la Dirección General de Ordenación del Juego, aprueba la disposición por la que se desarrollan las especificaciones técnicas de juego, trazabilidad y seguridad que deben cumplir los sistemas técnicos de juego de carácter no reservado objeto de licencias otorgadas al amparo de la ley 13/2011, de 27 de mayo, de regulación del juego. En este caso el cliente me encarga el segundo tipo de requisitos, basado en la seguridad de la información.

Como Auditor CISA (Certified Information System Auditor), Perito informático colaborador con la justicia, Master en Ciberseguridad por Deloitte y Master en Inteligencia artificial, mi labor como auditor aplica a un sector completamente en alza, clave para la económica y con una presencia internacional donde los requisitos varían según cada país y deben ser homologados en cada uno.

La colaboración suele tener las siguientes fases: Reunión de toma de contacto, plan de acción de la auditoria interna, auditoria 114 puntos de control de la ISO27001 (aplicables según el alcance), realización de tests de pentesting y auditoria, entrega de informe y recomendaciones, entre otras acciones. Pulse aquí para más información.

En un entorno donde las empresas cada día más exponen sus servidores y servicios a Internet la ciberseguridad debe formar parte del plan estratégico de la organización, ya sea una startup o una multinacional. Los tests de ciberseguridad que me solicitan mis clientes buscan detectar vulnerabilidades conocidas y aumentar su nivel de ciberseguridad para reducir la posibilidad de un ataque de un hacker malicioso y por tanto aumentar la continuidad del negocio.

Los test o pruebas de penetración son procesos automatizados que ayudan a mis clientes a comprobar las vulnerabilidades y actuar para mejorarlas en servicios y servidores en Internet. Es en definitiva una forma controlada de realizar un ataque programado al sistema con el fin de encontrar las debilidades tecnológicas antes que los cibercriminales. Esta metodología también esta esta contemplado en la mayoría de estándares de gestión de seguridad como algún control de la ISO27001 por ejemplo el control A.18.2.3 Technical compliance review. Si necesita saber más contacte conmigo aquí

En general la versión actual  especifica 12 requisitos para el cumplimiento, organizados en 6 secciones relacionadas lógicamente, que son llamadas «objetivos de control.»

Los objetivos de control son los siguientes:

Desarrollar y mantener una red segura

Proteger los datos de los propietarios de tarjetas.

Mantener un Programa de Gestión de Vulnerabilidades

Implementar Medidas sólidas de control de acceso

Monitorizar y probar regularmente las redes

Nuestros informes, firmados por un perito colaborador con la justicia a nivel nacional, han servido para que startups, multinacionales y empresas de cualquier sector o tamaño pudieran tener un informe del valor económico de su web, app, software, etc ante terceros.

Valoramos el activo software siempre dependiendo del objetivo buscado. Así podemos realizar valoraciones post-money para inversores u otros tipos de valoración cuando nuestros informes tienen otros objetivos. En general combinamos el estudio «estratégico» del activo, es decir, donde compite, que valor aporta, que fondo de comercio dispone, que proyección P&G tuvo y es posible que tenga, … con un estudio «tecnológico» donde valoramos obsolescencia, tecnología utilizada, equipo humano que lo ha realizado, complejidad, arquitectura, etc Si necesita mas información acceda aquí

Como fundador de www.leyesytecnologia.com colaboramos desde hace años con despachos de abogados en todo el territorio nacional en la realización de periciales de parte o judicial en proyectos informáticos que acaban en juicio entre partner y cliente, como erp, desarrollo de webs, etc así como autenticidad de mensajes como email, whatsapp, etc

Colaboramos con asociaciones como AEODOO como peritos reconocidos.