ASESORÍA EN CIBERSEGURIDAD

ASESORÍA EN IMPLEMENTACIÓN, MANTENIMIENTO Y AUDITORIA DE:

CIBERSEGURIDAD

CTPAT CUSTOMS TRADE PARTNERSHIP AGAINST TERRORISM

La actualización del programa CTPAT  implicó la liberación del nuevo perfil dentro del portal web de CTPAT https://ctpat.cbp.dhs.gov/trade-web/index y las organizaciones no contaban con que como parte de esta actualización el CBP borro por completo los perfiles de las empresas certificadas y validadas; ahora no solo tienen que subir lo correspondiente a los nuevos requisitos, sino que tienen que actualizar todo su perfil de seguridad por completo.

Esta actualización obliga a las empresas a

  1. Implementar los MSC MInimum security Criteria (Criterios Mínimos de Seguridad) por área de enfoque, lo que implica que aumenta el alcance de estos dentro de la organización.
  2. Implementar controles en 3 nuevos elementos
  • Visión de Seguridad y responsabilidad
  • Ciberseguridad
  • Seguridad de Agricultura

REQUISITOS DE CTPAT EN EL CRITERIO DE CIBERSEGURIDAD

Ciberseguridad se refiere a la protección de los activos digitales-todo desde las redes hasta el hardware y la información que es procesada, almacenada o transportada por sistemas de información.

La Ciberseguridad se esfuerza por asegurar el logro y el mantenimiento de las propiedades de seguridad de la organización y los activos del usuario contra los riesgos relevantes de seguridad en el entorno cibernético. Los objetivos generales de seguridad comprenden lo siguiente:

  • Disponibilidad.
  • Integridad
  • Confidencialidad.

ELEMENTOS RELACIONADOS A LA CIBERSEGURIDAD

  • La seguridad de la información se refiere a la protección de la confidencialidad, integridad y disponibilidad de la información en general, para atender las necesidades de la información de los usuarios.
  • La seguridad de las aplicaciones es un proceso que se realiza para aplicar controles y mediciones para las aplicaciones de una empresa con el fin de gestionar el riesgo de su uso. Los controles y mediciones pueden ser aplicados a la propia aplicación (sus procesos, componentes, software y resultados), a sus datos (datos de configuración, datos de usuario, datos de organización), y a toda la tecnología, procesos y actores que intervienen en el ciclo de vida de la aplicación.
  • La seguridad de redes se ocupa del diseño, implementación y operación de redes para lograr los propósitos de la seguridad de la información en las redes dentro de las organizaciones, entre las organizaciones y entre las organizaciones y los usuarios.
  • La seguridad de internet se ocupa de la protección de los servicios relacionados con Internet y las redes y sistemas de las TIC como una extensión de la seguridad de red en las organizaciones y en el hogar, para lograr el objetivo de la seguridad. La Seguridad de Internet también garantiza la disponibilidad y fiabilidad de los servicios de Internet.
  • CIIP se ocupa de la protección de los sistemas que son proporcionados u operados por proveedores de infraestructura crítica, tales como energía, telecomunicaciones, agua y servicios. CIIP asegura que los sistemas y redes están protegidos y resisten contra los riesgos de seguridad de la información, los riesgos de seguridad de la red, los riesgos de seguridad de Internet, así como los riesgos de ciberseguridad.

MARCO DE CIBERSEGURIDAD DEL NIST

Este marco es publicado por el Instituto Nacional de Estándares y Tecnología, como una demanda publicada en febrero de 2014 por parte del presidente Barack Obama en 2013, con el fin de establecer un conjunto de normas voluntarias de ciberseguridad para empresas de infraestructura o misión crítica.

El Marco de Referencia se centra en el uso de los impulsores del negocio para direccionar las actividades en Ciberseguridad y considerando los riesgos de la Ciberseguridad como parte de los procesos de gestión de riesgo de la organización.

El Marco de Referencia incluye: el Marco Principal, el Perfil del Marco, y los Niveles de implementación del Marco

El programa  CTPAT dentro de los requisitos de Ciberseguridad recomienda seguir al Instituto Nacional de Normas y Tecnología el cual provee un marco voluntario basado en el riesgo para la mejora de la ciberseguridad en infraestructura crítica https://www.nist.gov/ciberframework  – el cual  es un conjunto de estándares de la industria y mejores prácticas que ayudan a las organizaciones a gestionar los riesgos de ciberseguridad.

  • Este marco proporciona un lenguaje común para la comprensión de gestionar y expresar el riesgo de ciberseguridad tanto a nivel interno como externamente.
  • Puede usarse para ayudar a identificar y priorizar acciones, para reducir el riesgo de ciberseguridad, y es una herramienta para alinear políticas de negocios, y enfoques tecnológicos para gestionar ese riesgo.
  • El marco complementa, pero no reemplaza, el proceso de gestión de riesgo de una organización y programa de ciberseguridad. Alternativamente, una organización sin un programa de ciberseguridad existente puede utilizar el marco como referencia para establecer uno.

Contamos con asesoría inmediata en línea para:

  • Ethical Hacking
  • Análisis de Madurez de IT
  • Pruebas de Ingeniería Social
  • Análisis de Vulnerabilidades de IT
  • Implementación del Marco de Ciberseguridad del NIST
  • Así como asesoría para implementación de controles de Seguridad de la Información y Ciberseguridad

Para más información acerca del requisito de Ciberseguridad CTPAT, así como el correcto cumplimiento del mismo nos ponemos a tus órdenes a través de los siguientes medios de contacto:

Formulario de Contacto

Servicios Complementarios

Auditoria de Cumplimiento

Nuestro equipo apoyara a sus auditores internos o podremos entrenarlos, para el cumplimiento de conformidad con los requerimientos mínimos y procedimientos técnicos establecidos, en los programas para la obtención de las Certificaciones de acuerdo al propio contexto de la organización a fin de obtener y evaluar objetivamente las evidencias sobre las afirmaciones contenidas en los actos jurídicos o eventos de carácter técnico, económico, administrativo y otros, con el fin de determinar el grado de correspondencia entre esas afirmaciones, las disposiciones legales vigentes y los criterios establecidos.

Análisis de Riesgos ISO 31000

La ISO31000 es una norma internacional de Gestión de Riesgos que puede ser adoptada por cualquier organización de cualquier tamaño o industria. Bien se trate de organizaciones públicas o privadas y se puede aplicar a cualquier tipo de riesgo.

Los requisitos que establece la norma ISO31000 se pueden aplicar para cualquier tipo de objetivo de cualquier nivel o área de la organización. Tanto a nivel estratégico como a cualquier tipo de actividad. Y puede ayudar a la organización a gestionar procesos, operaciones, proyectos, programas, productos, servicios y activos.

Implementación de ISO 28000

La empresa deberá llevar a cabo una planificación estratégica para la implementación de un Sistema de Gestión de Seguridad en Cadena de Suministros ISO 28000 de forma sistemática, que permita la identificación, análisis, evaluación y tratamiento de riesgos y debilidades en su cadena de logística y en sus instalaciones, con el objeto de que la dirección implemente estrategias, elabore políticas y procedimientos documentados que ayuden a mitigar y disuadir dichos riesgos y por ende aporte elementos que fortalezcan a la seguridad de la cadena de suministros.

Implementación de CTPAT & OEA

Teniendo como base la Norma ISO 28000 para la implementación de estos programas, podemos establecer los objetivos de la seguridad e indicadores de desempeño como una herramienta que entrega información cuantitativa respecto del logro o resultado en la entrega de productos (bienes o servicios) generados por la compañía, cubriendo aspectos cuantitativos o cualitativos, estableciendo medidas de control para garantizar la integridad y seguridad de la mercancía de los procesos relacionados con el transporte, manejo, despacho aduanero y almacenaje de carga a lo largo de la cadena de suministros. Estos procedimientos deben documentarse y asegurarse de mantener la integridad de su embarque desde el punto de origen hasta su destino final.

Auditoria a Socios Comerciales y Proveedores

Asesoramos a su compañía para contar con procedimientos escritos y verificables para la selección y contratación de socios comerciales (Transportistas, fabricantes, vendedores, proveedores de partes y materias primas, proveedores de servicios como limpieza, seguridad, contratación de personal) y de acuerdo a su análisis de riesgo, exigir que cumplan con las medidas de seguridad para fortalecer la cadena de suministros internacional.

Apoyamos a su empresa en realizar auditorias periódicas de los procesos e instalaciones de los socios comerciales en base al riesgo y estos deben mantener las normas de seguridad requeridas por la empresa, y mantener registros de las mismas, así como del seguimiento correspondiente. Cuando se encuentren inconsistencias, la empresa deberá comunicarlo a su socio o proveedor y proporcionar un período justificado para atender las observaciones identificadas o, en caso contrario, tener las medidas necesarias para sancionarla.

Evaluación del Sistema de Seguridad

El ciclo de la Mejora Continua o PHVA puede aplicarse a todos los procesos y al sistema de gestión de la seguridad en cadena de suministros como un todo y puede describirse brevemente como sigue:

Planificar: establecer los objetivos del sistema y sus procesos, y los recursos necesarios para generar y proporcionar resultados de acuerdo con los requisitos del cliente y las políticas de la organización, e identificar y abordar los riesgos y las oportunidades;

Hacer: implementar y ejecutar lo planificado;

Verificar: realizar el seguimiento y (cuando sea aplicable) la medición de los procesos y los productos y servicios resultantes respecto a las políticas, los objetivos, los requisitos y las actividades planificadas, e informar sobre los resultados;

Actuar: tomar acciones para mejorar el desempeño, cuando sea necesario.

Identificación de Socios Comerciales Críticos

Apoyamos a su empresa a contar con procedimientos documentados en el que, de acuerdo a su análisis de riesgo, solicite requisitos adicionales en materia de seguridad a aquellos socios comerciales que intervengan en su cadena de suministro, ya sea como proveedores de materiales para la elaboración, empaque o embalaje de las mercancías sometidas a comercio exterior, así como de los proveedores de servicios como empresas de seguridad privada, transportistas y agentes aduanales que de igual forma intervengan en el control, manipulación, traslado y/o coordinación de sus mercancías.

Análisis de Vulnerabilidades

A través de simulacros planeados, este análisis pretende identificar las posibles amenazas y vulnerabilidades que se puedan presentar en sus instalaciones, y conocer la situación actual de la empresa, en caso de presentarse alguna amenaza ya sea de origen técnico (incendios, explosiones, fallas estructurales, accidentes de transporte, etc.), de origen social (terrorismo, crimen organizado, contaminación de embarques, asaltos, cierres de carreteras o aduanas, etc.) o de origen natural (movimiento sísmico, tormentas eléctricas, etc.), con la finalidad de generar las contramedidas necesarias que permitan mitigar los riesgos y la continuidad de operaciones en su organización.

¿Buscas certificar tu empresa o tus competencias personales?