En Marzo del corriente año, Khu Tech, empresa Argentina especializada en Seguridad de la Información, lanzó al mercado R-BOX: "Herramienta orientada a la gestión de Seguridad de la Información y Cumplimiento de Estándares".

La funcionalidad de R-BOX se conforma mediante una serie de módulos optativos, que aportan diferentes prestaciones según las necesidades de cada organización, y del análisis o proyecto que se desee realizar. Tiene un módulo de Inventario de activos, que gestiona el ciclo de vida de los activos que conforman los servicios de información; un modulo de Clasificación de la información, que gestiona en forma normalizada y sistemática las dimensiones de Confidencialidad, Integridad, Disponibilidad, etc y permite especificar la importancia que la información tiene para el Negocio; un módulo de Análisis de riesgo que permite obtener un diagnóstico, en términos de riesgo general, conociendo las amenazas y vulnerabilidades más importantes, y el riesgo por cada activo, un módulo de Gestión de riesgo, que facilita la toma de decisiones respecto a las acciones necesarias para llevar el riesgo a niveles aceptables, es decir, alinear la Gestión de Seguridad con la estrategia del Negocio y por último un módulo de Compliance que permite conocer de manera rápida, efectiva y precisa, el nivel de cumplimiento de estándares, leyes y buenas prácticas, tales cómo ISO 27002, COBIT, ITIL, A4609, SOX, etc.Cada uno de estos módulos pueden ser utilizado independientemente, pero deberá tenerse en cuenta su secuencia lógica de utilización. R-BOX es una eficiente herramienta de gestión, de fácil utilización y corta curva de aprendizaje. En una entrevista realizada a Juan Scrinzi, Gerente de Consultoría de Khu Tech, nos cuenta todo lo que debemos saber de la herramienta:

¿Qué tipo de solución ofrece R-BOX?
R-BOX es un sistema modular orientado a la Gestión de Seguridad de la Información, que facilita alinearla con la estrategia de Negocio de la Organización. Si bien la herramienta también contempla los aspectos operativos de este proceso, se hizo mucho foco en asegurar sus objetivos tácticos, como el de diseñar las políticas de seguridad, velar por el cumplimiento de estándares, asegurar los aspectos de Confidencialidad, Integridad y Disponibilidad y, minimizar riesgos eficientemente.

¿Cuáles son las características destacadas de R-BOX?
R-BOX es algo más que una herramienta ya que, a través de los controles y flujos de sus módulos, asegura el cumplimiento correcto y sistemático de las fases de las metodologías de Análisis / Gestión de Riesgo y de Compliance. Otro aspecto a destacar son las Bases de Conocimiento modeladas en la herramienta, que ofrecen un marco de entidades (Amenazas, Vulnerabilidades, Recomendaciones, Proyectos, etc.) coherente, que nos facilita mucho el llevar adelante este tipo de iniciativas.

¿A que empresas le interesa adquirir este tipo de productos?
Principalmente a las que se encuentran bajo un marco regulatorio que las obliga a realizar estos proyectos, en Argentina, los bancos y entidades financieras con la circular A-4609 del Banco Central. Ya estamos colaborando con varios bancos de primera línea.
Las empresas con orientación a la Gestión de Servicios de IT y gestión basada en procesos encuentran en R-BOX una herramienta ideal para la toma de decisiones y mejora de su gestión. Generalmente, se extienden los resultados como base de BIAs, BCPs, Planes de Contingencia y Certificación ISO 27001. También estamos dando estas soluciones en este tipo de empresas.

¿Cómo se realizaría un proyecto de este tipo con R-BOX?
En base a las características antes mencionadas, podemos centrarnos en los aspectos que realmente dependen de la organización analizada, ellos son su Modelo Funcional, es decir, su Inventario de Activos, dependencias y responsabilidades; su Modelo de Negocio, que especifica el valor de sus procesos de negocio y la Clasificación de la Información (Confidencialidad, Integridad, Disponibilidad, etc.); y el Modelo de Gestión, donde se recoge el grado de madurez de la organización respecto a la implantación de los controles definidos en el estándar (A-4609 y/o ISO 27002). Combinando estos datos con los modelos de las Bases de Conocimiento se realizan una serie de cálculos que resultan en un Diagnóstico de Riesgo.

En la fase de Gestión de Riesgo se busca obtener un Plan de Acción diseñado en función del Diagnóstico, de los Umbrales de Riesgo definidos y de los aspectos presupuestarios y logísticos de la Organización. Los resultados de este Plan pueden ser simulados para detectar si se ha hallado una solución satisfactoria.

Prensario. Edicion Octubre.