Protección de activos digitales³n... · Arquitecturas inadecuadas DMZ mal diseñadas, redes...
-
Upload
nguyentuong -
Category
Documents
-
view
218 -
download
0
Transcript of Protección de activos digitales³n... · Arquitecturas inadecuadas DMZ mal diseñadas, redes...
01/04/2013 | Ingelan | 934 302 989
Protección de activos digitales
… en las Organizaciones
“La prevención es la esencia de la seguridad”
De una forma progresiva e imparable, las empresas confían información estratégica a los Sistemas de Información tanto para flexibilizar su propia actuación como para facilitar el intercambio de datos con proveedores, clientes y usuarios de sus servicios. Pero las deficiencias en la tecnología existen. En todas ellas. Y en cuanto se solventa una, aparece otra para constituir un nuevo punto de atención. La lógica no es perfecta y en el tratamiento de la información tiene una intervención decisiva el factor humano.
Por esa razón la prevención es una medida sensata. Hay que instrumentar procedimientos y medios antes de que los incidentes se produzcan. Con ello podrán evitarse problemas legales, sanciones y conseguir que los activos de la organización – cada vez más valiosos – estén a salvo de la misma forma que lo estaría el dinero en efectivo.
Versión 1.0 – Marzo 2014
2
Riesgos para el negocio: Lo crea o no, sus sistemas han sido hackeados
Recientes estudios ponen de manifiesto que hasta un 80% de las empresas de tamaño grande y mediano a nivel mundial ha sufrido algún incidente en el que se ha extraído información de forma deliberada desde dentro o fuera de la organización. Esta cifra contrasta con el 26,1% de las empresas españolas que reconocen y han denunciado este hecho (fuente: Informe INTECO 2011 sobre Seguridad en las Empresas).
Es posible que el primero de estos porcentajes sea el que más se ajuste a la realidad: Otro informe expone que un 55% de los incidentes de este tipo no llega a revelarse y/o se descubre al cabo de tres años o más. La mayoría de veces (un 90% según estimaciones) se ignora la entidad de la información obtenida y únicamente se llega a conocer finalizada la investigación de la incidencia o – eventualmente – cuando esos datos han visto la luz pública. O sea, que tenemos una probabilidad altísima de que se hayan saqueado nuestros sistemas de información para extraer unos datos cuya entidad ignoramos, en manos de personas o entidades que nos son ajenas y que los han obtenido con finalidades desconocidas.
Qué buscan los hackers?: Pues su motivación acostumbra a ser diferente, y la tipología de información que pretenden obtener es diversa. Podemos esquematizar las conductas en unos pocos perfiles-tipo que simplificamos en los siguientes gráficos. No están recogidas todas las posibilidades, pero sí los comportamientos perniciosos más observadas.
NÚMERO DE INCIDENTES POR OBJETIVO TIPOLOGÍA DE LOS REGISTROS COMPROMETIDOS
Costes de un incidente de seguridad
Internos De detección de la incidencia
Para identificar el hecho de que se está produciendo una situación excepcional
De investigación de la causa Para descubrir la fuente, el alcance y la magnitud de la actividad ilícita
De contención del ataque Medios para contrarrestar o aminorar el impacto o la severidad de los ciberataques
De recuperación de la situación anterior Tareas tendentes a restaurar y/o corregir los efectos adversos provocados por la actuación
De prevención futura Adquisición/instalación de medios que permitan hacer frente en adelante a situaciones similares
Externos Consecuencia de la pérdida o sustracción de la información
Valor intrínseco o potencial de la información afectada (especialmente secretos comerciales o material con copyright)
De interrupción de la actividad Pérdida de productividad consecuencia de la imposibilidad de emplear los medios de proceso durante el ataque
De reparación de daños en la infraestructura Importe derivado de la necesidad de reponer material, renovar, reparar o actualizar medios de proceso y/o de almacenamiento
Pérdida de ingresos Costes de oportunidad por falta de medios durante la incidencia de realizar transacciones y pérdida de imagen y confianza consecuencia de la exposición pública de datos reservados
Ingelan – Protección de activos digitales V 1.0 – Marzo de 2014
46%
40%
4%
2%
2%
2%
1% 1%
1%
1%
89%
1%
1%
1% 1%
1% 1% 3%
1%
Datos Tarjetas de Crédito
Credenciales autentificación
Información personal
Datos organizativos
Datos bancarios
Información de sistemas
Material con copyright
Secretos comerciales
Información clasificada
Registros médicos
Tipología de la información objeto
del ataque
3
Origen de los incidentes de seguridad
Son variados, con diferentes protagonistas, objetivos y finalidades que intentamos esquematizar en el siguiente cuadro:
Origen Protagonistas Objetivos principales Finalidad
Exterior Grupos criminales organizados (33%) Grupos activistas (21%) Antiguos empleados (8-10%)
Listas de correo electrónico Distribución malware. Envío de spam
Datos de tarjetas de crédito Fraude
Documentos reservados Espionaje. Publicación. Ventajas competitivas
Datos autenticación Suplantación administradores/usuarios
Interior Empleados (intencionadamente) (5%) Empleados (acceso casual) (40%) Partners/Subcontratistas (7%)
Borrado documentos Sabotaje. Venganza
Información reservada Venta a terceros. Publicación. Espionaje.
Correo electrónico Chantaje. Promoción profesional
Datos empleados Venta a terceros
Normativa y legislación
Aparte de que haya suscrito acuerdos de confidencialidad (NDA’s) e independiente-mente del valor que los datos que su compañía trate puedan tener un valor estratégico o comercial para desarrollar su negocio, algunos de ellos tienen un valor social, por lo que están protegidos por la ley o por normativas sectoriales de cumplimiento obligatorio
PCI DSS (Payment Card Industry – Data Security Standard) es el conjunto de normas de seguridad exigibles para tratar los datos de las tarjetas de crédiro y sus titulares. Establecido por las principales marcas (VISA International, MasterCard Worldwide, American Express,…) su incumplimiento puede conllevar sanciones e incluso la prohibición de emplear dicho medio de pago para abonar transacciones.
La recogida y tratamiento de información sensible (ideología, ideario, religión, creencias, origen étnico, salud y vida sexual) acerca de las personas está especialmente regulada. El incumplimiento de las directivas de seguridad en lo referente a estos datos y/o la revelación de los mismos puede ser – aparte de una vulneración de los derechos a la intimidad de clientes, empleados o proveedores – objeto de sanciones por parte de la Administración
De obligado cumplimiento para las Administraciones Públicas (Real Decreto 3/2010, del 8 de Enero de 2010, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica), el Esquema Nacional de Seguridad establece procedimientos y requisitos para el tratamiento seguro de la información de los ciudadanos y de las entidades
Publicaciones Ingelan (acerca de normativa) PCI-DSS (Boletín 10/2012)
publicado el 1 de Diciembre de 2012
PCI-DSS: Requisitos para su empleo en la nube (Boletín 05/2013 publicado el 1 de Abril de 2013)
PCI-DSS: Validación en la actividad comercial (Boletín 04/2013 publicado el 1 de Febrero de 2013)
PCI-DSS Wire & Contact Less (Boletín 09/2013 de 1 de Mayo de 2013)
LOPD- Requisitos (Boletín 12/2012 de 20 de Diciembre de 2012)
Una LOPD para el Siglo 21 (Boletin de 1 de Mayo de 2013)
Esquema Nacional de Seguridad (Boletín 01/2013 de 2 de Enero)
Ingelan – Protección de activos digitales V 1.0 – Marzo de 2014
4
Publicaciones Ingelan (acerca de seguridad)
Seguridad IT (Boletín 2012/11 de 10 de Diciembre de 2012)
Descuidar la seguridad puede costarle caro – Post de 27 de Noviembre de 2012
¿Quién está tras un ciberataque? – Publicado en el blog Ingelan en 1 de Diciembre de 2012
Privacidad de los datos: El alto coste de mantener los datos confidenciales sin protección: 6 pasos para la protección de datos – Post de 4 de Enero de 2013
¿Cuánto valen los datos e su empresa? – Post de 18 de Diciembre de 2013
Razones de las brechas en la seguridad Pueden encontrar una completa descripción de éstas causas (aquí las resumimos) en nuestro whitepaper “Seguridad IT” publicado el 10 de Diciembre de 2012
A. Deficiencias en la infraestructura IT
1 Carencia de medios de contención adecuados
Indisponibilidad de tecnologías de cortafuegos o sistemas de control de intrusiones
2 Falta de actualización del software No implementación de parches y/o actualizaciones de seguridad
3 Arquitecturas inadecuadas
DMZ mal diseñadas, redes abiertas,mal segmentadas o no compartimentadas
4 Empleo de redes no seguras Wireless o VPN no protegidas, WiFis públicas no seguras
5 Falta de medios de control del uso de los endpoints
Software no autorizado, aplicaciones no fiables, modificaciones de la configuración
6 Deficiencias en backups y archivado Almacenamiento sin seguridad, contenidos sensibles sin encriptar, procesos de eliminación
7 Proceso y almacenamiento de datos en la nube
Falta de control sobre los medios de seguridad y los accesos
B. Imprevisión en los procesos de negocio
8 Inexistencia de políticas de gestión y control de accesos
Se dejan activas identificaciones por defecto o no se demanda renovación periódica de passwords
9 Dificultad en localizar los datos sensibles
Falta de criterios y políticas de clasificación de la información según su importancia
10 Excepciones/procesos informales Empleo de medios externos no autorizados para proteger o transmitir datos
11 Falta de sensibilidad y (falsa) sensación de seguridad
Desconocimiento/ignorancia de los riesgos a los que se hace frente
C. Descuidos o errores
12 Falta de mentalización, formación y divulgación
Inexistencia de conciencia del valor de los datos que se manejan
13 Carencia de códigos de conducta No acostumbra a haber soportes de difusión del coste de un mal uso de los datos
14 Indisciplina Abuso de confianza, accesos a aplicaciones indebidas, falta de actualización de los endpoints
15 Robos/pérdidas de dispositivos o medios de almacenamiento
Especialmente si la información no está encriptada o el medio protegido
16 Teletrabajo Transferencia de datos corporativos a discos locales a los que pueden acceder personas no autorizadas
17 Ingeniería social
Tratar información, anotarla o hacer comentarios frente a extraños
18 Uso inadecuado de atributos en los documentos
Descuidar el uso de datos ocultos en registros, ficheros o documentos
D. Acciones intencionadas
19 Hacking
Para obtener beneficio económico mediante fraude, chantaje u otro tipo de actividad criminal
20 Actuaciones de venganza, sabotaje y otras formas maliciosas
Con la finalidad de provocar daños en la infraestructura o en los contenidos
Ingelan – Protección de activos digitales V 1.0 – Marzo de 2014
5
Puntos especialmente sensibles
Bases de Datos
En las que se contienen datos estructurados de tipo estratégico, comercial, financiero o personal y sobre las que es sensato controlar y auditar: Accesos a datos sensibles bien directamente por
parte de usuarios con privilegios, bien a través de las aplicaciones.
Alertar o bloquear en tiempo real ataques y solicitudes anormales de acceso
Posibles vulnerabilidades técnicas, reduciendo así la ventana de exposición
Identificar derechos innecesarios de acceso y/o usuarios inactivos que puedan aprovecharse para suplantar
Agilizar la respuesta a incidentes y su investigación posterior con herramientas de análisis avanzado
La información no estructurada presenta un grado de complejidad superior, ya que es difícil establecer criterios en cuanto a niveles de confidencialidad. No obstante hay que disponer de medios que permitan: Identificar dónde se encuentran los datos a
proteger Seguir su empleo y recorrido a través de la
organización, y el de los posibles derivados Auditar – como en el caso anterior – derechos
y accesos
Documentos
Accesos Web
Como ventana de nuestra compañía al mundo, la web acostumbra a ser un punto especialmente vulnerable y por tanto es necesario tomar acciones para: Aprender dinámicamente el uso legítimo de las
aplicaciones para poder identificar actuaciones anómalas
Alertar o bloquear en tiempo real solicitudes que pretendan explotar vulnerabilidades conocidas
Actuar contra fuentes maliciosas o fraudulentas
Se trata de uno de los puntos más débiles de la cadena por la falta de control que puede tenerse (de forma centralizada) sobre el uso que se les está dando. Es por ello que ha de: Gestionarse la protección contra la pérdida de
datos confidenciales en el “punto de uso” Controlar las actuaciones difíciles de detectar:
Copia ilícita del CD (o dispositivo USB), impresión, transferencia a través de la red o del correo electrónico personal de archivos confidenciales u otros datos sensibles
Dispositivos periféricos
Nuestra Metodología Nos permite realizar proyectos más rápidamente, de una forma más precisa y dentro de un presupuesto ajustado a las necesidades de nuestros clientes, debido a:
a) Hemos capitalizado nuestra experiencia recogiendo y reuniendo las necesidades de cada sector y tipo. Al iniciar un Proyecto no partimos de cero, y nuestros interlocutores suprimen los requerimientos no aplicables y eventualmente añaden los específicos de su organización
b) Conociendo la tecnología podemos aconsejar acerca de las alternativas más adecuadas en función de las coberturas que se quiera proporcionar y de los presupuestos disponibles
c) Con ello somos capaces de minimizar duración y costes maximizando el alcance y el aprovechamiento de la inversión
Ingelan – Protección de activos digitales V 1.0 – Marzo de 2014
6
Aplicaciones Web con solo gestión de usuarios granular externa
Escenario Solución
El front-end controla granularmente los usuarios y las opciones de la aplicación a las que puede acceder. En cambio, la aplicación emplea un único usuario/contraseña para acceder a la base de datos, con lo que es imposible auditar (y eventualmente bloquear) accesos no autorizados ¿Hay vías directas de acceso? ¿Quedan trazadas? ¿Es posible ejecutar sentencias directas sobre la base de datos?
Correlacionar en tiempo real las acciones ejecutadas por el usuario sobre el WebServer, el Servidor de Aplicaciones y el Gestor de Base de Datos
Alertar y/o bloquear acciones ejecutadas por usuarios no autorizados o imposibles de correlacionar
Aplicaciones sin registros de auditoría (audit trail)
Escenario Solución
El frontend controla el acceso de los usuarios, pero no registra las acciones realizadas sobre la base de datos, con lo que no se puede responder a las siguientes preguntas:
¿Están los permisos bien definidos? ¿Puedo comprobar quién hace qué? ¿Puedo definir una política de seguridad?
Establecer mecanismos de auditoría empleando reglas específicas interceptando el tráfico entre la aplicación y la base de datos
Definir – en base a los resultados obtenidos – la política de seguridad adecuadas y el equipo bloqueará/alertará sobre los accesos no permitidos
Problemas en el flujo de los datos críticos
Escenario Solución
El riesgo de robo en un banco se encuentra – principalmente – en los traslados. Sus datos pueden estar protegidos en su base de datos o servidor de ficheros, no obstante:
¿Se envían por correo, se imprime o se extrae información sensible de ficheros con información crítica (LOPD, PCI, …)?
Las aplicaciones … ¿Permiten bajadas de datos masivas a herramientas ofimáticas?
¿Conoce donde se hallan sus riesgos?
El origen de los riesgos es diverso y la solución adecuada no puede/debe ser de tipo genérico
Auditar el flujo de los datos proporciona visibilidad, permite realizar un mapa de riesgos e invertir de forma ordenada y priorizada, atacando en primer lugar las actuaciones más críticas
Encriptación
Escenario Solución
Diferentes estándares y normativas obligan a mantener y transmitir datos sensibles de forma criptografiada, pero:
¿Encripta los datos críticos almacenados en la base de datos?
¿Y en el servidor? Los ficheros que contienen este tipo de información … ¿viajan encriptados por las redes?
Aunque sus aplicativos no realicen estas tareas en los diferentes entornos, puede asegurar de forma externa la encriptación tanto en servidores de ficheros, bases de datos o en la red.
Esta tarea puede realizarse de forma automática- sin intervención del usuario – dependiendo del nivel de sensibilidad de los datos o documentos de que se trate
Ingelan – Protección de activos digitales V 1.0 – Marzo de 2014
Caso
# 1
Caso # 2
Caso # 3
Caso # 4
7
Acceso a bases de datos desde diversas aplicaciones y/o entradas directas
Escenario Solución
Aplicativos diferentes accediendo a datos sensibles, usuarios de la base de datos conocidos por los administradores, conexiones directas desde herramientas ofimáticas mediante ODBCs, …
No es posible confiar a las aplicaciones el control de los datos críticos
Si aplicación no es posible una adecuada gestión de privilegios y permisos
El entorno es altamente vulnerable
Bloquear/auditar los accesos a nivel de tabla o incluso de campo en la base de datos
Analice comportamientos extraños (fuera del horario habitual, esporádicos, accesos remotos, …)
Gestione los permisos y las autorizaciones en base a los comportamientos observados y considerados legítimos
Asignación y revocación de permisos de acceso
Escenario Solución
Los negocios se adaptan rápidamente a los mercados y las organizaciones a los negocios. La evolución no es sencilla de gestionar y se pierde visibilidad sobre la protección de la información crítica
Se otorgan mas permisos que los estrictamente necesarios
Los accesos de administradores no son trazables Existen diferentes copias y versiones de los mismos documentos en distintas ubicaciones y/o carpetas
Analizar de forma automática la seguridad lógica de los ficheros
Autoauditoría de las cuentas de administración
Auditorías puntuales o contínuas
Acuerdos de confidencialidad y/o protección de derechos de autor
Escenario Solución
Los acuerdos de confidencialidad sin un sistema que los garantice son un contrato de buenas intenciones que protege legalmente pero… ¿son suficientes para aprovechar una oportunidad de mercado, para un nuevo lanzamiento, para evitar la pérdida de imagen ante nuestros clientes…?
¿Cómo se gestiona la información confidencial en toda la organización?
¿Dónde se aloja?¿Es posible copiarla y pegarla?
Proporcionar valor y factor diferenciador trazando y reportando toda la actividad que se realiza con la información afectada por el Acuerdo de Confidencialidad
Garantizar la cobertura legal trazando, alertando y/o bloqueando la actividad ilícita que pueda realizarse con los documentos críticos (tanto a nivel de los servidores como de las estaciones de trabajo
Descuidos o errores de gestores y/o usuarios y deficiencias en la infraestructura
Escenario Solución
La falta de inversión en aspectos clave debido a problemas presupuestarios puede convertirse en un riesgo para la seguridad
Actualizaciones de software, arquitecturas inadecuadas, redes WiFi o VPN mal diseñadas o no seguras, políticas de backup o contingencia deficientes, información llevada a la nube son factores de riesgo elevados
La seguridad es – principalmente – cosa de las personas, por tanto hay que invertir en formación, creación de hábitos y mentalización
Auditoría interna de la infraestructura (hardware) en lo referente a seguridad
Análisis de riesgos
Plan de seguridad de los sistemas de información
Ingelan – Protección de activos digitales V 1.0 – Marzo de 2014
Caso # 8
Caso # 7
Caso # 6
Caso # 5
8
Planteamiento de actuación
Realice un proyecto evolutivo
Obtenga visibilidad de las vulnerabilidades y actividades respecto a seguridad
Vincule los riesgos con los procesos de negocio
Piense en global y actúe paso a paso
Vea posibles áreas de análisis (entre otras muchas)
Protección Base Datos
Protección Ficheros
Protección Acceso web
Protección Laptops
Sectores (ejemplos)
Info tarjetas crédito
Venta online
Base datos clientes
Gran Consumo
Campañas, promos, precios
Utilities
Editoriales
Base datos pacientes
Seguros médicos
Información confidencial o copyright
Gabinetes abogados
Autores
Nuestro método de trabajo
Ilustrado en el gráfico anexo, está pensado para desarrollar proyectos de forma rápida, eficiente y económica, adaptándonos en todo momento a las necesidades de nuestros clientes
Ventajas: Proyectos acotados y concretos
Consolidables: La seguridad se construye paso a paso
Visibilidad: Terminar etapas y consolidarlas proporciona tranquilidad y visión a medio plazo
Menores costes
Las claves Los casos provienen de las mejores prácticas de Ingelan
Los requerimientos de cada caso están predefinidos y en el proyecto se realizan únicamente ajustes sobre los blueprints aportados
Para cada caso se han estudiado las mejores herramientas en base a sus capacidades y no en base a acuerdos comerciales (independencia técnica). De esas herramientas se han extraido las especificaciones funcionales y tecnológicas aplicables al caso correspondiente
Se dispone de un primer análisis de riesgos ya desarrollado mediante la correlación de requerimientos con especificaciones funcionales
Una vez revisado y validado el análisis de riesgos, quedan fijadas expectativas y alcance
Es posible una implantación ejecutiva
Ingelan – Protección de activos digitales V 1.0 – Marzo de 2014
Selección del Caso
• Concreción
Definición de Requerimientos
• Propuesta mejores prácticas
• Definición
Especificaciones Funcionales y Técnicas
• Conocimiento de las herramientas
• Experiencia seguridad
• Caso diseñado
Análisis de riesgos
• Contraste Requerimientos-Especificaciones funcionales
• Acotación proyecto - Expectativas
Implantación
• Diseño
• Instalación
• Validación
9
Desde los posibles (y diversos) puntos de vista
Los proyectos de seguridad pueden afrontarse de diversas formas, según lo que los motive o la necesidad que pretendan solventar o cubrir. En cada caso la lista de tareas a realizar será distinta y el objetivo variará para poder alcanzar las finalidades pretendidas.
Nuestra propuesta de valor
Todas las organizaciones son distintas y los proyectos no tienen que ser homogéneos. Según su nivel de evolución respecto a la seguridad de sus datos o sistemas, nos posicionamos en el nivel adecuado para minimizar el coste y maximizar el valor
Podemos realizar un proceso completo si precisa de una evaluación del negocio y sus procesos con el fin de desarrollar un análisis de riesgos – desde el punto de vista de la seguridad de la información – para diseñar soluciones de seguridad ajustadas a los principales riesgos e integrarlas
También podemos ayudar a su compañía si requiere de una auditoría de seguridad y un diseño e implementación de soluciones específicas
O en el caso de que disponga de un área de seguridad específica y – simplemente – necesite integradores expertos en la puesta en marcha de sistemas de seguridad
NEGOCIO SEGURIDAD
Auditoría de Procesos
Proceso Completo
Análisis de
Riesgos
Diseño de Soluciones Especificas
Análisis de Vulnerabilida-
des Integración de Soluciones
Integración de Sistemas
Situaciones de riesgo
Protección de la Propiedad Intelectual
En el ciclo creativo y el proceso de distribución hay puntos vulnerables, en los cuales la exposición mediante el uso de sistemas P2P o el empleo del FTP puede impactar de forma devastadora.
Garantía de privacidad de datos sensibles
La legislación (en España la LOPD) obliga a mantener blindados determinados datos sobre personas o entidades. Especialmente en el sector financiero y en el de la salud. Pero también lo impone el sentido común y la necesidad económica
Blindaje de la información ante infiltrados
Recientes estudios demuestran que un buen número de los robos de información se efectúan desde dentro de las organizaciones por empleados (a los que llamaremos “infiltrados”) que, con fines más o menos malintencionados, acceden a datos cuyo conocimiento y manejo no les corresponde. En muchas ocasiones pueden llegar a obtenerla de forma accidental. E incluso pueden no emplearla ni trasladarla a terceras partes,
Salvaguarda de la información en outsourcing
La cesión de datos a terceros puede ser crítica si se trata de información relevante, y no digamos si se trata de datos sensibles y protegidos que pasan a ser controlados por y en un ambiente sobre el que no se tiene control
Acción de usuarios privilegiados
Existe una creciente sensibilidad en este sentido para evitar excesos, pero no olvidemos que es necesario otorgar los permisos suficientes para que puedan ejercer satisfactoriamente su misión. El equilibrio es difícil y complejo, y sin embargo hay que encontrarlo.
Redes de ventas de alta rotación
La sustracción de preciosa información para – en caso de cese – ofrecer a la competencia como prima de enganche a cambio de un nuevo puesto de trabajo es un hecho de cada día. Ese tipo de pérdida pone a la empresa en unas condiciones de inferioridad significativas.
Ingelan – Protección de activos digitales V 1.0 – Marzo de 2014
De Negocio/Normativo Visión Top-Down Revisión situación actual y GAP Analysis Dar sentido a lo realizado respecto a las Normas Análisis de riesgos
De Herramientas/Infraestructura Visión Bottom-Up Validar, justificar y alinear la
infraestructura disponible Definir infraestructura idónea según el
análisis de riesgos
10
Ingelan Francesc Carbonell, 21-23 Esc.A Ent.3 Tel: 934 302 989 Fax: 934 306 300 Mail: [email protected]
“Hacemos que las cosas ocurran”
Visite nuestra página Web: http://www.ingelan.com
Síganos en:
Sabemos por experiencia que implicarse es obtener resultados. La variedad de nuestros clientes en tamaño y sector de actividad nos obliga a trabajar y evolucionar en entornos distintos. Implantar soluciones tecnológicas avanzadas, gestionar proyectos complejos e integrarnos en los equipos de nuestros clientes durante más de veinte años nos ha aportado el bagaje necesario.
La confianza – sostenida en el tiempo – de nuestros clientes, avala nuestra capacidad de adaptación. Debemos ser excelentes profesionales para ganar credibilidad, entender los procesos de nuestros clientes para generar valor, conocer sus colaboradores para entender su cultura, diseñar acciones progresivas, entendibles y asumibles para hacer factible el cambio y – finalmente – hemos de acompañarle ya que el auténtico cambio se genera en sus propios colaboradores.
© 2014 - Información propietaria y confidencial de Ingelan – Local Area Network Engineering