Lo que hacemos
Servicios diseñados para negocios regulados
Tres tipos de engagement — cada uno diseñado para una etapa específica de tu camino de cumplimiento. Dimensionamos cada proyecto según lo que tu regulación realmente requiere, no según lo que vende el contrato más grande.
Evaluación de Seguridad IT
Una evaluación estructurada de tu postura de seguridad frente a las regulaciones que aplican a tu negocio — HIPAA, FTC Safeguards Rule, PCI-DSS o GLBA. Obtienes un panorama claro de dónde estás parado y qué necesita cambiar.
Lo que recibes
- Revisión de controles técnicos — configuración de red, gestión de accesos, protección de endpoints, estado de parches y verificación de respaldo.
- Análisis de brechas regulatorias — mapeado a los requisitos específicos que aplican a tu licencia, sector y tamaño. No un checklist genérico.
- Documento de análisis de riesgo — requerido por nombre bajo la Regla de Seguridad HIPAA §164.308(a)(1). Aceptado por auditores de OCR y aseguradoras de ciberriesgo.
- Reporte de hallazgos — escrito para el dueño del negocio, no para un ingeniero de seguridad. Priorizado por nivel de riesgo y esfuerzo de remediación.
- Plan de remediación — plan de acción secuenciado con responsables, plazos y esfuerzo estimado por hallazgo.
Para ti si
Tu aseguradora de ciberriesgo añadió preguntas nuevas a tu renovación. Un auditor o examinador está pidiendo documentación que no tienes. Estás incorporando un nuevo EMR, sistema POS o servicio cloud y necesitas entender la exposición. O simplemente no sabes cuál es tu nivel de riesgo actual.
Mantenimiento Mensual de Seguridad
Supervisión de seguridad continua para negocios que necesitan un programa de seguridad funcional sin el costo de una contratación de seguridad a tiempo completo. Nos encargamos del trabajo recurrente para que tu equipo pueda enfocarse en operaciones.
Qué incluye
- Verificación de parches y actualizaciones — confirmación de que sistemas operativos, aplicaciones y firmware están actualizados en todo tu entorno.
- Revisión de accesos — verificación mensual de cuentas de usuario, accesos privilegiados y offboarding de empleados terminados. Uno de los hallazgos más comunes en auditorías de PYMES.
- Actualizaciones de políticas de seguridad — manteniendo tus políticas escritas al día a medida que cambia tu stack tecnológico y tu personal.
- Preparación para respuesta a incidentes — ejercicios de tabletop trimestrales y verificación de lista de contactos para que no estés construyendo un plan durante un incidente.
- Revisión trimestral de negocio — sesión de 60 minutos para revisar hallazgos, ajustar prioridades y responder preguntas de tu equipo directivo.
Para ti si
Completaste una evaluación y necesitas a alguien que le dé seguimiento a los ítems de remediación. Tienes obligaciones de cumplimiento continuas — revisiones anuales HIPAA, mantenimiento del programa FTC Safeguards, scans trimestrales PCI-DSS — y no tienes personal interno de seguridad para gestionarlos.
CISO Virtual (vCISO)
Liderazgo de seguridad a nivel de CISO en modalidad fraccional. Para organizaciones que necesitan un ejecutivo de seguridad calificado en la sala — para presentaciones a la junta, exámenes regulatorios y decisiones de riesgo de vendedores — sin añadir un ejecutivo a tiempo completo.
Qué incluye
- Gobernanza del programa de seguridad — construcción y mantenimiento del marco de políticas escritas, procedimientos y controles requerido por tu regulación aplicable.
- Apoyo en exámenes regulatorios — participación directa en exámenes de OCIF, auditorías de OCR o conversaciones con evaluadores PCI-DSS como tu representante de seguridad designado.
- Informes a la junta y liderazgo — traduciendo postura de seguridad y riesgo a términos de negocio para ejecutivos y miembros de junta que necesitan tomar decisiones informadas.
- Gestión de riesgo de vendedores — evaluando terceros y business associates frente a tus obligaciones regulatorias antes de firmar un contrato.
- Hoja de ruta estratégica — plan de programa de seguridad de 12 meses alineado a tus objetivos de negocio, presupuesto y calendario de cumplimiento.
Para ti si
Tienes un programa de cumplimiento pero nadie con las credenciales y la experiencia para defenderlo ante un auditor o tu junta. Tu regulador está haciendo preguntas que van más allá de lo que tu proveedor de IT puede responder. O te estás preparando para un ciclo de auditoría importante y necesitas un ejecutivo de seguridad calificado en tu equipo.
Cómo empieza
Todo engagement empieza de la misma manera — con una conversación. Antes de dimensionar cualquier cosa o cotizar cualquier cosa, necesitamos entender tu negocio, tu entorno regulatorio y lo que ya existe.
Consulta inicial
Escuchamos. Nos cuentas sobre tu negocio, tu sector y las presiones que enfrentas — de tu aseguradora, tu examinador o tus clientes. Sin pitch, sin propuesta todavía.
Alcance y propuesta
Con base en lo que escuchamos, proponemos el engagement adecuado — el que tu situación requiere, no el más grande que podemos vender. Recibes un alcance escrito y un precio fijo antes de empezar.
Engagement y entrega
Hacemos el trabajo. Te mantenemos informado durante todo el proceso — no sorpresas al final. Cada entregable está escrito para un dueño de negocio, no para un ingeniero de seguridad.
¿No sabes cuál servicio se ajusta a tu situación?
Empieza con una consulta. Te diremos qué regulaciones aplican, dónde probablemente están tus brechas y qué engagement tiene sentido — o si necesitas algo en absoluto.
Contáctanos