Operamos bajo los estándares más estrictos de seguridad y transparencia. Cada intervención se documenta con apego a marcos nacionales e internacionales aplicables al sector público mexicano.
No aplicamos los marcos de forma aislada. Cada intervención los integra según la naturaleza del activo, la criticidad operativa y las obligaciones normativas de la dependencia.
ISO · International Organization for Standardization
Estándar internacional para el establecimiento, implementación, mantenimiento y mejora continua de un Sistema de Gestión de Seguridad de la Información (SGSI). Es el referente de facto para cualquier organización que maneje información sensible.
NIST · National Institute of Standards and Technology
Marco voluntario desarrollado por el gobierno estadounidense y adoptado globalmente. Estructura la ciberseguridad en seis funciones: Gobernar, Identificar, Proteger, Detectar, Responder y Recuperar. Es la base más usada para autoevaluaciones gubernamentales.
Gobierno Federal · Secretaría de la Función Pública
Manual obligatorio para las dependencias y entidades de la Administración Pública Federal. Establece procesos, políticas y controles mínimos en materia de tecnologías de información y seguridad de la información. Es la norma de cumplimiento obligatorio en el sector federal.
NIST · National Institute of Standards and Technology
Catálogo exhaustivo de más de 1,000 controles de seguridad y privacidad aplicables a sistemas federales. Equivalente operativo del Anexo A de ISO 27001, pero con mayor profundidad técnica y aplicabilidad directa al sector público.
Congreso de la Unión · Diario Oficial de la Federación
Marco normativo nacional aplicable a todas las dependencias gubernamentales en el tratamiento de datos personales. Establece derechos ARCO, principios de tratamiento, deberes de seguridad y régimen sancionatorio.
IEC · International Electrotechnical Commission
Estándar internacional para la ciberseguridad de sistemas industriales (OT/SCADA). Aplicable a infraestructura crítica como generación eléctrica, hidrocarburos, agua y transporte. Esencial para paraestatales y organismos energéticos.
ISO · International Organization for Standardization
Estándar para garantizar la continuidad operativa ante incidentes mayores. Incluye análisis de impacto al negocio (BIA), planes de continuidad (BCP) y planes de recuperación ante desastres (DRP). Esencial para servicios al ciudadano.
OWASP · Open Worldwide Application Security Project
Guía exhaustiva para pruebas de seguridad de aplicaciones web. Base metodológica para pentesting de portales transaccionales y aplicaciones ciudadanas. Complementa el OWASP Top 10.
MITRE Corporation
Base de conocimiento global de tácticas y técnicas observadas en adversarios reales. Marco de referencia para modelar amenazas, detectar comportamiento malicioso y entrenar a equipos de detección y respuesta.
Cada uno se incorpora como cláusula contractual. No son enunciados de marketing.
Toda intervención inicia con un análisis explícito de los marcos aplicables al activo a proteger.
Los entregables documentan el marco normativo aplicado y los controles cubiertos por cada hallazgo.
Los hallazgos se clasifican con CVSS v4.0 y se mapean al control específico del marco aplicable.
Los reportes son aptos para presentación ante auditorías de SFP, ASF y órganos internos de control.
Acompañamos a la dependencia hasta el cierre de hallazgos y validación independiente cuando aplica.
Los tres pilares clásicos de la seguridad de la información, aplicados con rigor en cada intervención.
Acceso a la información estrictamente a personal autorizado. Cifrado en reposo y en tránsito, control de acceso por menor privilegio y NDAs bilaterales.
Garantía de que los procesos y datos no son alterados durante las intervenciones. Hashes de evidencia, control de versiones y validación cruzada.
Continuidad operativa de los servicios públicos digitales 24/7. Pruebas en ventanas controladas y planes de continuidad documentados.
Ofrecemos diagnósticos exprés de cumplimiento alineados al marco aplicable. Resultados en menos de tres semanas, con plan de cierre de brechas priorizado por riesgo.