01/04/2013 | Ingelan | 934 302 989

Protección de activos digitales

… en las Organizaciones

“La prevención es la esencia de la seguridad”

De una forma progresiva e imparable, las empresas confían información estratégica a los Sistemas de Información tanto para flexibilizar su propia actuación como para facilitar el intercambio de datos con proveedores, clientes y usuarios de sus servicios. Pero las deficiencias en la tecnología existen. En todas ellas. Y en cuanto se solventa una, aparece otra para constituir un nuevo punto de atención. La lógica no es perfecta y en el tratamiento de la información tiene una intervención decisiva el factor humano.

Por esa razón la prevención es una medida sensata. Hay que instrumentar procedimientos y medios antes de que los incidentes se produzcan. Con ello podrán evitarse problemas legales, sanciones y conseguir que los activos de la organización – cada vez más valiosos – estén a salvo de la misma forma que lo estaría el dinero en efectivo.

Versión 1.0 – Marzo 2014

2

Riesgos para el negocio: Lo crea o no, sus sistemas han sido hackeados

Recientes estudios ponen de manifiesto que hasta un 80% de las empresas de tamaño grande y mediano a nivel mundial ha sufrido algún incidente en el que se ha extraído información de forma deliberada desde dentro o fuera de la organización. Esta cifra contrasta con el 26,1% de las empresas españolas que reconocen y han denunciado este hecho (fuente: Informe INTECO 2011 sobre Seguridad en las Empresas).

Es posible que el primero de estos porcentajes sea el que más se ajuste a la realidad: Otro informe expone que un 55% de los incidentes de este tipo no llega a revelarse y/o se descubre al cabo de tres años o más. La mayoría de veces (un 90% según estimaciones) se ignora la entidad de la información obtenida y únicamente se llega a conocer finalizada la investigación de la incidencia o – eventualmente – cuando esos datos han visto la luz pública. O sea, que tenemos una probabilidad altísima de que se hayan saqueado nuestros sistemas de información para extraer unos datos cuya entidad ignoramos, en manos de personas o entidades que nos son ajenas y que los han obtenido con finalidades desconocidas.

Qué buscan los hackers?: Pues su motivación acostumbra a ser diferente, y la tipología de información que pretenden obtener es diversa. Podemos esquematizar las conductas en unos pocos perfiles-tipo que simplificamos en los siguientes gráficos. No están recogidas todas las posibilidades, pero sí los comportamientos perniciosos más observadas.

NÚMERO DE INCIDENTES POR OBJETIVO TIPOLOGÍA DE LOS REGISTROS COMPROMETIDOS

Costes de un incidente de seguridad

Internos De detección de la incidencia

Para identificar el hecho de que se está produciendo una situación excepcional

De investigación de la causa Para descubrir la fuente, el alcance y la magnitud de la actividad ilícita

De contención del ataque Medios para contrarrestar o aminorar el impacto o la severidad de los ciberataques

De recuperación de la situación anterior Tareas tendentes a restaurar y/o corregir los efectos adversos provocados por la actuación

De prevención futura Adquisición/instalación de medios que permitan hacer frente en adelante a situaciones similares

Externos Consecuencia de la pérdida o sustracción de la información

Valor intrínseco o potencial de la información afectada (especialmente secretos comerciales o material con copyright)

De interrupción de la actividad Pérdida de productividad consecuencia de la imposibilidad de emplear los medios de proceso durante el ataque

De reparación de daños en la infraestructura Importe derivado de la necesidad de reponer material, renovar, reparar o actualizar medios de proceso y/o de almacenamiento

Pérdida de ingresos Costes de oportunidad por falta de medios durante la incidencia de realizar transacciones y pérdida de imagen y confianza consecuencia de la exposición pública de datos reservados

Ingelan – Protección de activos digitales V 1.0 – Marzo de 2014

46%

40%

4%

2%

2%

2%

1% 1%

1%

1%

89%

1%

1%

1% 1%

1% 1% 3%

1%

Datos Tarjetas de Crédito

Credenciales autentificación

Información personal

Datos organizativos

Datos bancarios

Información de sistemas

Material con copyright

Secretos comerciales

Información clasificada

Registros médicos

Tipología de la información objeto

del ataque

3

Origen de los incidentes de seguridad

Son variados, con diferentes protagonistas, objetivos y finalidades que intentamos esquematizar en el siguiente cuadro:

Origen Protagonistas Objetivos principales Finalidad

Exterior Grupos criminales organizados (33%) Grupos activistas (21%) Antiguos empleados (8-10%)

Listas de correo electrónico Distribución malware. Envío de spam

Datos de tarjetas de crédito Fraude

Documentos reservados Espionaje. Publicación. Ventajas competitivas

Datos autenticación Suplantación administradores/usuarios

Interior Empleados (intencionadamente) (5%) Empleados (acceso casual) (40%) Partners/Subcontratistas (7%)

Borrado documentos Sabotaje. Venganza

Información reservada Venta a terceros. Publicación. Espionaje.

Correo electrónico Chantaje. Promoción profesional

Datos empleados Venta a terceros

Normativa y legislación

Aparte de que haya suscrito acuerdos de confidencialidad (NDA’s) e independiente-mente del valor que los datos que su compañía trate puedan tener un valor estratégico o comercial para desarrollar su negocio, algunos de ellos tienen un valor social, por lo que están protegidos por la ley o por normativas sectoriales de cumplimiento obligatorio

PCI DSS (Payment Card Industry – Data Security Standard) es el conjunto de normas de seguridad exigibles para tratar los datos de las tarjetas de crédiro y sus titulares. Establecido por las principales marcas (VISA International, MasterCard Worldwide, American Express,…) su incumplimiento puede conllevar sanciones e incluso la prohibición de emplear dicho medio de pago para abonar transacciones.

La recogida y tratamiento de información sensible (ideología, ideario, religión, creencias, origen étnico, salud y vida sexual) acerca de las personas está especialmente regulada. El incumplimiento de las directivas de seguridad en lo referente a estos datos y/o la revelación de los mismos puede ser – aparte de una vulneración de los derechos a la intimidad de clientes, empleados o proveedores – objeto de sanciones por parte de la Administración

De obligado cumplimiento para las Administraciones Públicas (Real Decreto 3/2010, del 8 de Enero de 2010, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica), el Esquema Nacional de Seguridad establece procedimientos y requisitos para el tratamiento seguro de la información de los ciudadanos y de las entidades

Publicaciones Ingelan (acerca de normativa) PCI-DSS (Boletín 10/2012)

publicado el 1 de Diciembre de 2012

PCI-DSS: Requisitos para su empleo en la nube (Boletín 05/2013 publicado el 1 de Abril de 2013)

PCI-DSS: Validación en la actividad comercial (Boletín 04/2013 publicado el 1 de Febrero de 2013)

PCI-DSS Wire & Contact Less (Boletín 09/2013 de 1 de Mayo de 2013)

LOPD- Requisitos (Boletín 12/2012 de 20 de Diciembre de 2012)

Una LOPD para el Siglo 21 (Boletin de 1 de Mayo de 2013)

Esquema Nacional de Seguridad (Boletín 01/2013 de 2 de Enero)

Ingelan – Protección de activos digitales V 1.0 – Marzo de 2014

4

Publicaciones Ingelan (acerca de seguridad)

Seguridad IT (Boletín 2012/11 de 10 de Diciembre de 2012)

Descuidar la seguridad puede costarle caro – Post de 27 de Noviembre de 2012

¿Quién está tras un ciberataque? – Publicado en el blog Ingelan en 1 de Diciembre de 2012

Privacidad de los datos: El alto coste de mantener los datos confidenciales sin protección: 6 pasos para la protección de datos – Post de 4 de Enero de 2013

¿Cuánto valen los datos e su empresa? – Post de 18 de Diciembre de 2013

Razones de las brechas en la seguridad Pueden encontrar una completa descripción de éstas causas (aquí las resumimos) en nuestro whitepaper “Seguridad IT” publicado el 10 de Diciembre de 2012

A. Deficiencias en la infraestructura IT

1 Carencia de medios de contención adecuados

Indisponibilidad de tecnologías de cortafuegos o sistemas de control de intrusiones

2 Falta de actualización del software No implementación de parches y/o actualizaciones de seguridad

3 Arquitecturas inadecuadas

DMZ mal diseñadas, redes abiertas,mal segmentadas o no compartimentadas

4 Empleo de redes no seguras Wireless o VPN no protegidas, WiFis públicas no seguras

5 Falta de medios de control del uso de los endpoints

Software no autorizado, aplicaciones no fiables, modificaciones de la configuración

6 Deficiencias en backups y archivado Almacenamiento sin seguridad, contenidos sensibles sin encriptar, procesos de eliminación

7 Proceso y almacenamiento de datos en la nube

Falta de control sobre los medios de seguridad y los accesos

B. Imprevisión en los procesos de negocio

8 Inexistencia de políticas de gestión y control de accesos

Se dejan activas identificaciones por defecto o no se demanda renovación periódica de passwords

9 Dificultad en localizar los datos sensibles

Falta de criterios y políticas de clasificación de la información según su importancia

10 Excepciones/procesos informales Empleo de medios externos no autorizados para proteger o transmitir datos

11 Falta de sensibilidad y (falsa) sensación de seguridad

Desconocimiento/ignorancia de los riesgos a los que se hace frente

C. Descuidos o errores

12 Falta de mentalización, formación y divulgación

Inexistencia de conciencia del valor de los datos que se manejan

13 Carencia de códigos de conducta No acostumbra a haber soportes de difusión del coste de un mal uso de los datos

14 Indisciplina Abuso de confianza, accesos a aplicaciones indebidas, falta de actualización de los endpoints

15 Robos/pérdidas de dispositivos o medios de almacenamiento

Especialmente si la información no está encriptada o el medio protegido

16 Teletrabajo Transferencia de datos corporativos a discos locales a los que pueden acceder personas no autorizadas

17 Ingeniería social

Tratar información, anotarla o hacer comentarios frente a extraños

18 Uso inadecuado de atributos en los documentos

Descuidar el uso de datos ocultos en registros, ficheros o documentos

D. Acciones intencionadas

19 Hacking

Para obtener beneficio económico mediante fraude, chantaje u otro tipo de actividad criminal

20 Actuaciones de venganza, sabotaje y otras formas maliciosas

Con la finalidad de provocar daños en la infraestructura o en los contenidos

Ingelan – Protección de activos digitales V 1.0 – Marzo de 2014

5

Puntos especialmente sensibles

Bases de Datos

En las que se contienen datos estructurados de tipo estratégico, comercial, financiero o personal y sobre las que es sensato controlar y auditar: Accesos a datos sensibles bien directamente por

parte de usuarios con privilegios, bien a través de las aplicaciones.

Alertar o bloquear en tiempo real ataques y solicitudes anormales de acceso

Posibles vulnerabilidades técnicas, reduciendo así la ventana de exposición

Identificar derechos innecesarios de acceso y/o usuarios inactivos que puedan aprovecharse para suplantar

Agilizar la respuesta a incidentes y su investigación posterior con herramientas de análisis avanzado

La información no estructurada presenta un grado de complejidad superior, ya que es difícil establecer criterios en cuanto a niveles de confidencialidad. No obstante hay que disponer de medios que permitan: Identificar dónde se encuentran los datos a

proteger Seguir su empleo y recorrido a través de la

organización, y el de los posibles derivados Auditar – como en el caso anterior – derechos

y accesos

Documentos

Accesos Web

Como ventana de nuestra compañía al mundo, la web acostumbra a ser un punto especialmente vulnerable y por tanto es necesario tomar acciones para: Aprender dinámicamente el uso legítimo de las

aplicaciones para poder identificar actuaciones anómalas

Alertar o bloquear en tiempo real solicitudes que pretendan explotar vulnerabilidades conocidas

Actuar contra fuentes maliciosas o fraudulentas

Se trata de uno de los puntos más débiles de la cadena por la falta de control que puede tenerse (de forma centralizada) sobre el uso que se les está dando. Es por ello que ha de: Gestionarse la protección contra la pérdida de

datos confidenciales en el “punto de uso” Controlar las actuaciones difíciles de detectar:

Copia ilícita del CD (o dispositivo USB), impresión, transferencia a través de la red o del correo electrónico personal de archivos confidenciales u otros datos sensibles

Dispositivos periféricos

Nuestra Metodología Nos permite realizar proyectos más rápidamente, de una forma más precisa y dentro de un presupuesto ajustado a las necesidades de nuestros clientes, debido a:

a) Hemos capitalizado nuestra experiencia recogiendo y reuniendo las necesidades de cada sector y tipo. Al iniciar un Proyecto no partimos de cero, y nuestros interlocutores suprimen los requerimientos no aplicables y eventualmente añaden los específicos de su organización

b) Conociendo la tecnología podemos aconsejar acerca de las alternativas más adecuadas en función de las coberturas que se quiera proporcionar y de los presupuestos disponibles

c) Con ello somos capaces de minimizar duración y costes maximizando el alcance y el aprovechamiento de la inversión

Ingelan – Protección de activos digitales V 1.0 – Marzo de 2014

6

Aplicaciones Web con solo gestión de usuarios granular externa

Escenario Solución

El front-end controla granularmente los usuarios y las opciones de la aplicación a las que puede acceder. En cambio, la aplicación emplea un único usuario/contraseña para acceder a la base de datos, con lo que es imposible auditar (y eventualmente bloquear) accesos no autorizados ¿Hay vías directas de acceso? ¿Quedan trazadas? ¿Es posible ejecutar sentencias directas sobre la base de datos?

Correlacionar en tiempo real las acciones ejecutadas por el usuario sobre el WebServer, el Servidor de Aplicaciones y el Gestor de Base de Datos

Alertar y/o bloquear acciones ejecutadas por usuarios no autorizados o imposibles de correlacionar

Aplicaciones sin registros de auditoría (audit trail)

Escenario Solución

El frontend controla el acceso de los usuarios, pero no registra las acciones realizadas sobre la base de datos, con lo que no se puede responder a las siguientes preguntas:

¿Están los permisos bien definidos? ¿Puedo comprobar quién hace qué? ¿Puedo definir una política de seguridad?

Establecer mecanismos de auditoría empleando reglas específicas interceptando el tráfico entre la aplicación y la base de datos

Definir – en base a los resultados obtenidos – la política de seguridad adecuadas y el equipo bloqueará/alertará sobre los accesos no permitidos

Problemas en el flujo de los datos críticos

Escenario Solución

El riesgo de robo en un banco se encuentra – principalmente – en los traslados. Sus datos pueden estar protegidos en su base de datos o servidor de ficheros, no obstante:

¿Se envían por correo, se imprime o se extrae información sensible de ficheros con información crítica (LOPD, PCI, …)?

Las aplicaciones … ¿Permiten bajadas de datos masivas a herramientas ofimáticas?

¿Conoce donde se hallan sus riesgos?

El origen de los riesgos es diverso y la solución adecuada no puede/debe ser de tipo genérico

Auditar el flujo de los datos proporciona visibilidad, permite realizar un mapa de riesgos e invertir de forma ordenada y priorizada, atacando en primer lugar las actuaciones más críticas

Encriptación

Escenario Solución

Diferentes estándares y normativas obligan a mantener y transmitir datos sensibles de forma criptografiada, pero:

¿Encripta los datos críticos almacenados en la base de datos?

¿Y en el servidor? Los ficheros que contienen este tipo de información … ¿viajan encriptados por las redes?

Aunque sus aplicativos no realicen estas tareas en los diferentes entornos, puede asegurar de forma externa la encriptación tanto en servidores de ficheros, bases de datos o en la red.

Esta tarea puede realizarse de forma automática- sin intervención del usuario – dependiendo del nivel de sensibilidad de los datos o documentos de que se trate

Ingelan – Protección de activos digitales V 1.0 – Marzo de 2014

Caso

# 1

Caso # 2

Caso # 3

Caso # 4

7

Acceso a bases de datos desde diversas aplicaciones y/o entradas directas

Escenario Solución

Aplicativos diferentes accediendo a datos sensibles, usuarios de la base de datos conocidos por los administradores, conexiones directas desde herramientas ofimáticas mediante ODBCs, …

No es posible confiar a las aplicaciones el control de los datos críticos

Si aplicación no es posible una adecuada gestión de privilegios y permisos

El entorno es altamente vulnerable

Bloquear/auditar los accesos a nivel de tabla o incluso de campo en la base de datos

Analice comportamientos extraños (fuera del horario habitual, esporádicos, accesos remotos, …)

Gestione los permisos y las autorizaciones en base a los comportamientos observados y considerados legítimos

Asignación y revocación de permisos de acceso

Escenario Solución

Los negocios se adaptan rápidamente a los mercados y las organizaciones a los negocios. La evolución no es sencilla de gestionar y se pierde visibilidad sobre la protección de la información crítica

Se otorgan mas permisos que los estrictamente necesarios

Los accesos de administradores no son trazables Existen diferentes copias y versiones de los mismos documentos en distintas ubicaciones y/o carpetas

Analizar de forma automática la seguridad lógica de los ficheros

Autoauditoría de las cuentas de administración

Auditorías puntuales o contínuas

Acuerdos de confidencialidad y/o protección de derechos de autor

Escenario Solución

Los acuerdos de confidencialidad sin un sistema que los garantice son un contrato de buenas intenciones que protege legalmente pero… ¿son suficientes para aprovechar una oportunidad de mercado, para un nuevo lanzamiento, para evitar la pérdida de imagen ante nuestros clientes…?

¿Cómo se gestiona la información confidencial en toda la organización?

¿Dónde se aloja?¿Es posible copiarla y pegarla?

Proporcionar valor y factor diferenciador trazando y reportando toda la actividad que se realiza con la información afectada por el Acuerdo de Confidencialidad

Garantizar la cobertura legal trazando, alertando y/o bloqueando la actividad ilícita que pueda realizarse con los documentos críticos (tanto a nivel de los servidores como de las estaciones de trabajo

Descuidos o errores de gestores y/o usuarios y deficiencias en la infraestructura

Escenario Solución

La falta de inversión en aspectos clave debido a problemas presupuestarios puede convertirse en un riesgo para la seguridad

Actualizaciones de software, arquitecturas inadecuadas, redes WiFi o VPN mal diseñadas o no seguras, políticas de backup o contingencia deficientes, información llevada a la nube son factores de riesgo elevados

La seguridad es – principalmente – cosa de las personas, por tanto hay que invertir en formación, creación de hábitos y mentalización

Auditoría interna de la infraestructura (hardware) en lo referente a seguridad

Análisis de riesgos

Plan de seguridad de los sistemas de información

Ingelan – Protección de activos digitales V 1.0 – Marzo de 2014

Caso # 8

Caso # 7

Caso # 6

Caso # 5

8

Planteamiento de actuación

Realice un proyecto evolutivo

Obtenga visibilidad de las vulnerabilidades y actividades respecto a seguridad

Vincule los riesgos con los procesos de negocio

Piense en global y actúe paso a paso

Vea posibles áreas de análisis (entre otras muchas)

Protección Base Datos

Protección Ficheros

Protección Acceso web

Protección Laptops

Sectores (ejemplos)

Info tarjetas crédito

Venta online

Base datos clientes

Gran Consumo

Campañas, promos, precios

Utilities

Editoriales

Base datos pacientes

Seguros médicos

Información confidencial o copyright

Gabinetes abogados

Autores

Nuestro método de trabajo

Ilustrado en el gráfico anexo, está pensado para desarrollar proyectos de forma rápida, eficiente y económica, adaptándonos en todo momento a las necesidades de nuestros clientes

Ventajas: Proyectos acotados y concretos

Consolidables: La seguridad se construye paso a paso

Visibilidad: Terminar etapas y consolidarlas proporciona tranquilidad y visión a medio plazo

Menores costes

Las claves Los casos provienen de las mejores prácticas de Ingelan

Los requerimientos de cada caso están predefinidos y en el proyecto se realizan únicamente ajustes sobre los blueprints aportados

Para cada caso se han estudiado las mejores herramientas en base a sus capacidades y no en base a acuerdos comerciales (independencia técnica). De esas herramientas se han extraido las especificaciones funcionales y tecnológicas aplicables al caso correspondiente

Se dispone de un primer análisis de riesgos ya desarrollado mediante la correlación de requerimientos con especificaciones funcionales

Una vez revisado y validado el análisis de riesgos, quedan fijadas expectativas y alcance

Es posible una implantación ejecutiva

Ingelan – Protección de activos digitales V 1.0 – Marzo de 2014

Selección del Caso

• Concreción

Definición de Requerimientos

• Propuesta mejores prácticas

• Definición

Especificaciones Funcionales y Técnicas

• Conocimiento de las herramientas

• Experiencia seguridad

• Caso diseñado

Análisis de riesgos

• Contraste Requerimientos-Especificaciones funcionales

• Acotación proyecto - Expectativas

Implantación

• Diseño

• Instalación

• Validación

9

Desde los posibles (y diversos) puntos de vista

Los proyectos de seguridad pueden afrontarse de diversas formas, según lo que los motive o la necesidad que pretendan solventar o cubrir. En cada caso la lista de tareas a realizar será distinta y el objetivo variará para poder alcanzar las finalidades pretendidas.

Nuestra propuesta de valor

Todas las organizaciones son distintas y los proyectos no tienen que ser homogéneos. Según su nivel de evolución respecto a la seguridad de sus datos o sistemas, nos posicionamos en el nivel adecuado para minimizar el coste y maximizar el valor

Podemos realizar un proceso completo si precisa de una evaluación del negocio y sus procesos con el fin de desarrollar un análisis de riesgos – desde el punto de vista de la seguridad de la información – para diseñar soluciones de seguridad ajustadas a los principales riesgos e integrarlas

También podemos ayudar a su compañía si requiere de una auditoría de seguridad y un diseño e implementación de soluciones específicas

O en el caso de que disponga de un área de seguridad específica y – simplemente – necesite integradores expertos en la puesta en marcha de sistemas de seguridad

NEGOCIO SEGURIDAD

Auditoría de Procesos

Proceso Completo

Análisis de

Riesgos

Diseño de Soluciones Especificas

Análisis de Vulnerabilida-

des Integración de Soluciones

Integración de Sistemas

Situaciones de riesgo

Protección de la Propiedad Intelectual

En el ciclo creativo y el proceso de distribución hay puntos vulnerables, en los cuales la exposición mediante el uso de sistemas P2P o el empleo del FTP puede impactar de forma devastadora.

Garantía de privacidad de datos sensibles

La legislación (en España la LOPD) obliga a mantener blindados determinados datos sobre personas o entidades. Especialmente en el sector financiero y en el de la salud. Pero también lo impone el sentido común y la necesidad económica

Blindaje de la información ante infiltrados

Recientes estudios demuestran que un buen número de los robos de información se efectúan desde dentro de las organizaciones por empleados (a los que llamaremos “infiltrados”) que, con fines más o menos malintencionados, acceden a datos cuyo conocimiento y manejo no les corresponde. En muchas ocasiones pueden llegar a obtenerla de forma accidental. E incluso pueden no emplearla ni trasladarla a terceras partes,

Salvaguarda de la información en outsourcing

La cesión de datos a terceros puede ser crítica si se trata de información relevante, y no digamos si se trata de datos sensibles y protegidos que pasan a ser controlados por y en un ambiente sobre el que no se tiene control

Acción de usuarios privilegiados

Existe una creciente sensibilidad en este sentido para evitar excesos, pero no olvidemos que es necesario otorgar los permisos suficientes para que puedan ejercer satisfactoriamente su misión. El equilibrio es difícil y complejo, y sin embargo hay que encontrarlo.

Redes de ventas de alta rotación

La sustracción de preciosa información para – en caso de cese – ofrecer a la competencia como prima de enganche a cambio de un nuevo puesto de trabajo es un hecho de cada día. Ese tipo de pérdida pone a la empresa en unas condiciones de inferioridad significativas.

Ingelan – Protección de activos digitales V 1.0 – Marzo de 2014

De Negocio/Normativo Visión Top-Down Revisión situación actual y GAP Analysis Dar sentido a lo realizado respecto a las Normas Análisis de riesgos

De Herramientas/Infraestructura Visión Bottom-Up Validar, justificar y alinear la

infraestructura disponible Definir infraestructura idónea según el

análisis de riesgos

10

Ingelan Francesc Carbonell, 21-23 Esc.A Ent.3 Tel: 934 302 989 Fax: 934 306 300 Mail: info@ingelan.com

“Hacemos que las cosas ocurran”

Visite nuestra página Web: http://www.ingelan.com

Síganos en:

Sabemos por experiencia que implicarse es obtener resultados. La variedad de nuestros clientes en tamaño y sector de actividad nos obliga a trabajar y evolucionar en entornos distintos. Implantar soluciones tecnológicas avanzadas, gestionar proyectos complejos e integrarnos en los equipos de nuestros clientes durante más de veinte años nos ha aportado el bagaje necesario.

La confianza – sostenida en el tiempo – de nuestros clientes, avala nuestra capacidad de adaptación. Debemos ser excelentes profesionales para ganar credibilidad, entender los procesos de nuestros clientes para generar valor, conocer sus colaboradores para entender su cultura, diseñar acciones progresivas, entendibles y asumibles para hacer factible el cambio y – finalmente – hemos de acompañarle ya que el auténtico cambio se genera en sus propios colaboradores.

© 2014 - Información propietaria y confidencial de Ingelan – Local Area Network Engineering