Quartz 4

BSS

3 min read

BSS

Relacionado: NIS2. Controles. FOCA.

Israel HERNANDEZ

trabaja lleva banca y seguros, it risk,

Propuesta al cliente: mejores prácticas de ciberseguridad

Marco de referencia

  • Se propone al cliente una best practice del mercado: en PwC utilizamos el marco NIST.
  • El NIST ayuda a prepararnos de forma estructurada y se organiza en cinco funciones:
    • Identificar
    • Proteger
    • Detectar
    • Responder
    • Recuperar

Evaluación y benchmarking

  • Primero se realiza un assessment.
  • Después se lleva a cabo un benchmark para comparar la situación con el mercado y el sector.
  • El resultado se traduce en un nivel de madurez de seguridad (1–5, modelo CMMI):
    • Lo habitual es que las organizaciones estén entre 1 y 2.
    • La excelencia (niveles 4–5) suele ser muy costosa y no siempre aporta valor proporcional.
    • El objetivo razonable es alcanzar el nivel 3 (equilibrio coste/beneficio).

Reporting y apoyo a la dirección

  • Se elabora un informe (Word) focalizado en ayudar a la dirección a separar el grano de la paja.
  • Se pueden usar paneles en Power BI para representar los datos de forma clara y accionable.

Inteligencia corporativa

  • Aplicamos enfoques de inteligencia con inspiración en metodologías militares para anticiparnos a amenazas.
  • Se investigan foros, bases de datos cerradas y áreas de la deep web para identificar artefactos, actores y tendencias.
  • Proporcionamos al cliente información procesable y contextualizada.

Gestión del fraude

  • Se implementan medidas preventivas y disuasorias para ralentizar y contener intentos de fraude.

Blockchain, tokenización y cripto

  • Trabajamos en casos de uso de blockchain en:
    • Tokenización
    • Criptomonedas
  • La tokenización permite resolver problemas como:
    • Identidad digital, sellos de tiempo y certificación (p. ej., con apoyo de entidades como la Fábrica Nacional de Moneda y Timbre).
    • Trazabilidad y verificación de activos y procesos.

Seguridad IT/OT, telecomunicaciones e IoT

  • Abordamos seguridad IT en el día a día y seguridad OT en sistemas industriales.
  • El IoT tendrá un peso cada vez mayor:
    • Monitorización, domótica, sensores conectados en el hogar y en entornos industriales.
    • Precaución con dispositivos de baja calidad o marcas poco confiables.
  • La nube es un pilar clave:
    • Contamos con múltiples certificaciones (AWS, Azure).
    • Muchas organizaciones han migrado a Microsoft 365 (O365).
    • Es esencial comprender los controles de seguridad de la nube y saber implementarlos correctamente.
    • Impulsamos la gobernanza en la nube (cloud governance) y la resiliencia.

Regulación y resiliencia (DORA)

  • La normativa DORA (Digital Operational Resilience Act) entra en aplicación el 17 de enero de 2025.
  • Su adopción está poniendo de relieve deuda técnica que debe abordarse con planes de remediación priorizados.

Riesgo IT, auditoría y NIS2

  • Todo lo relacionado con IT Risk se apoya en prácticas de auditoría y control interno.
  • La directiva NIS2 impulsará inversiones significativas en 2025–2026.
  • La mayoría de compañías externaliza parte de su cadena de valor en terceros; es crítico gestionar el riesgo de terceros y de la cadena de suministro.

Graph View

Backlinks