Decálogo

Desde EY hemos recopilado un conjunto de ámbitos de mejora, fruto de nuestra experiencia y de la de nuestros clientes, que se resumen en las siguientes áreas de actuación necesarias

• Analizar, mejorar y conocer la gestión de vulnerabilidadesde los sistemas de información en los que operan nuestrosprocesos. En esta gestión se incluyen desde los procesos dealerta temprana de las vulnerabilidades hasta el parcheado/actualización de los sistemas para resolver incidentes deseguridad identificados

• Revisar y actualizar los procedimientos y la gestión asociadaal plan de recuperación de sistemas que permita garantizar elcontrol de las situaciones por la adecuada administración decopias de seguridad y su prueba periódica

• Definir los procedimientos de respuesta ante incidentes deseguridad y gestión de situaciones de crisis (a nivel técnicoy directivo), incluyendo el modelo relacional con Fuerzas yCuerpos de Seguridad del Estado. La respuesta a incidentes por parte de un equipo especializado que analice el riesgo de cualquier amenaza (cyber threat intelligence) y aplique los controles necesarios

• Revisar el diseño de la arquitectura de seguridad incluyendoespecíficamente una adecuada segmentación de red y sudefinición de reglas de seguridad, de las redes de sistemasde información y de sus niveles de relación con las de tipooperacional

1

2

3

4

Desde EY hemos recopilado un conjunto de ámbitos de mejora, fruto de nuestra experiencia y de la de nuestros clientes, que se resumen en las siguientes áreas de actuación necesarias

• Elaborar planes específicos de formación y entrenamiento para cada tipo de perfil de la compañía y fortalecer así los programas de concienciación además de complementar los canales de divulgación en materia de ciberseguridad. Concretamente, el desarrollo y ejecución de ciberejercicios de respuesta ante este tipo de incidentes para evaluar y mejorar las capacidades reactivas de toda la organización

• Revisar el control corporativo de las situaciones de ciberseguridad de la red de filiales y compañías del grupo

• Revisar los procedimientos y controles referentes a terceros y a los proveedores de servicios profesionales dentro de la organización, así como también la revisión de cuentas y accesos privilegiados a los entornos de sistemas de las organizaciones

• Analizar la idoneidad y seguridad del software de terceros y del ciclo de vida de desarrollo

• Preservar la evidencia digital y garantizar su cadena de custodia con el objetivo de poder afrontar cualquier posible disputa o litigio

• Disponer de un equipo global especializado en disputas, que acompañe en todo el ciclo de resolución de potenciales conflictos con reguladores a los proveedores, clientes u otras partes interesadas como consecuencia de un ciberataque

5

6

7

8

9

10

Contactos

Elena MaestreSocia | Risk Advisory LeaderOffice: +34 91 749 38 55Mobile: +34 699 306 437elena.maestre@es.ey.com

Iñigo Sebastián de Erice y Malo de MolinaSocio | Fraud Investigation & Dispute ServicesOffice: +34 91 572 79 15Mobile: +34 620 035 112 Ignacio.SebastiandeErice@es.ey.com

EY | Assurance | Tax | Transactions | Advisory

Acerca de EYEY es líder mundial en servicios de auditoría, fiscalidad, asesoramiento en transacciones y consultoría. Los análisis y los servicios de calidad que ofrecemos ayudan a crear confianza en los mercados de capitales y las economías de todo el mundo. Desarrollamos líderes destacados que trabajan en equipo para cumplir los compromisos adquiridos con nuestros grupos de interés. Con ello, desempeñamos un papel esencial en la creación de un mundo laboral mejor para nuestros empleados, nuestros clientes y la sociedad.

EY hace referencia a la organización internacional y podría referirse a una o varias de las empresas de Ernst & Young Global Limited y cada una de ellas es una persona jurídica independiente. Ernst & Young Global Limited es una sociedad británica de responsabilidad limitada por garantía (company limited by guarantee) y no presta servicios a clientes. Para ampliar la información sobre nuestra organización, entre en ey.com.

© 2017 Ernst & Young, S.L.Todos los derechos reservados.

ED None

ey.com/es