Política de Seguridad de la Información, Evaluación de Vulnerabilidades y Pruebas de Penetración
Cliente
Institución de enseñanza superior de referencia nacional en el área de la salud, vinculada a la Santa Casa de Misericordia de São Paulo.
Acerca de la Empresa
Es una de las facultades de medicina más tradicionales de Brasil, reconocida por la excelencia en la enseñanza, investigación y formación de profesionales de la salud. Con su fuerte actuación académica y hospitalaria, la institución buscaba reforzar su gobernanza de tecnología y seguridad de la información, garantizando conformidad regulatoria y protección de datos sensibles en el contexto educacional y médico.
Desafío

La facultad enfrentaba los siguientes desafíos estratégicos:

  • Implementar políticas de seguridad de la información y privacidad de datos, alineadas a los requisitos regulatorios (LGPD, normas del sector salud);
  • Identificar e mitigar vulnerabilidades en infraestructura, sistemas y aplicaciones web;
  • Garantizar mayor resiliencia cibernética en un entorno de misión crítica, que implica datos confidenciales de pacientes y alumnos;
  • Disponibilizar documentación ejecutiva y técnica para guiar la toma de decisiones.
Solución
Estructuramos un proyecto completo de Seguridad de la Información, compuesto por tres pilares:
  1. Diseño de políticas de sistemas de información
    • Política General de Seguridad y Privacidad de Datos;
    • Política de uso de equipos, redes y laboratorios;
    • Política de protección de datos (privacidad interna y externa);
    • Política de seguridad física.
  2. Infraestructura – Pruebas de vulnerabilidad y penetración
    • Evaluación de vulnerabilidades y diagnóstico del entorno;
    • Pruebas activas y pasivas de redes, hardware, bases de datos y aplicaciones;
    • Mapeo de brechas de seguridad y métricas de vulnerabilidad.;
    • Simulaciones de ataques e informes detallados (Equipo Azul).
  3. WEB – Pruebas de vulnerabilidad y penetración
    • Evaluación de vulnerabilidades en aplicaciones Web;
    • Cumplimiento con las normas PCI-DSS, RGPD, LGPD, OWASP y HAPP;
    • Pruebas de scripts, accesos no autorizados y manipulación de datos;
    • Identificación de riesgos críticos como ataques de DNS e inyección de código.
Entregables del proyecto
  • Política de seguridad de la información;
  • Informe de vulnerabilidades de infraestructura y aplicación;
  • Informe de pruebas de penetración del entorno;
  • Resumen ejecutivo para la gerencia.
Resultados
  • Puesta en marcha de un programa estructurado de seguridad de la información;
  • Identificación y mitigación de vulnerabilidades críticas en sistemas e infraestructuras;
  • Mayor cumplimiento normativo, en particular con la LGPD y la normativa del sector sanitario;
  • Cuadros de mando e informes ejecutivos, apoyando a la alta dirección en la toma de decisiones;
  • Fortalecimiento de la gobernanza digital, garantizando protección de datos sensibles de alumnos y pacientes.