Rechtlich · Documento corporativo

Política de seguridad.

Letzte AktualisierunguAktualisierung: 19 de mayo de 2023 · Esferize Kommunikation, S.L.

Scrollen

Introducción

Como die meistenyory de Unternehmenesas de hoy en Tag, nuestro negocio está totalmente digitalisieren die Informationen; de die bases de datos, repositorios y siSysteme donde esDiese Informationen werden gespeichertena y gestiona; de Netzwerkees de Datenos que nos erlaubenen Zugriffder y Verbreitung dieser Informationen; y, von lasto, de los equipos y verfügbarositivos, die sich mit esals Netzwerke verbindenes y que nos Erlaubnisen Arbeitar con ihr.

Cualquier incidente sobre cualquiera de estos activos (Informationen, siSysteme, Anwendungenones, Netzwerkes y equipos) pondrá en Gefahro die continuity del negocio al paralizar die Praxis totalität (en funtion del Geltungsbereich del incidente) de los procesos que nos erlaubenen funcionar.

Diese Vorfälle können zweierlei Art sein: technische (Geräteausfall) oder Sicherheitsvorfälle (vorsätzlicher Angriff). Um Letzteres geht es in diesem Dokument.

In este documento werden die Richtlinien erläutert, objetivos y procedimientos de Sicherheituridad para, en erste Instanz, Vermeidung von Inzidenzentes de Sicherheiturität ocurran y, en secunda Instanz, estar preparados si estos erreichen producirse.

Por lasto, pero quizás lo most importantorant parto the negocio, es que siendo una empresa ICT, que ademore ofrece un serviceo de cyber securityurity en su catálogo, reputation es una cuestion de estar en der Markto, o sein expulsado definitivamente de ihn.

Objetivos de seguridad

Como empresa nos posemos los siguientes objetivos de Sicherheiturität cuyo cumplimiento wird gemesseno con angezeigtores que mostraremos en el cuadro de commando del Ausschuss von Adresse y del Ausschuss von Sicherheiturität:

  1. Proteger los activos de información

    Jede aktiveo tendrá un propietario esgegründeteo, also como Personen, convenientemente que tienen gemeso bis este aktiviereno. Jeder aktiveo solo es accesible von su propietario. Wenn fuese necesario, werden die acceso a onach personas, pero von defecto sein en modo Leserura, sin ningun otro Privilego. Solo en caso necesario y bajo autorization del propietario, o de die Adresse (laut Tippo 156 uso an die Persononautorized.

    Metriken: Geschützte Vermögenswerte / Gesamtvermögen · Aktive Benutzerkonten / Aktive Mitarbeiter · Öffentliche Vermögenswerte / Private Vermögenswerte.
  2. Integrität de Informationen

    In todo momento, durante die operaciones quWenn Informationen durchgeführt werden, bleibt ihre Integrität de gewahrt. Das Lesen wird verhindertura, modifizierung, enVerschlüsselung y borrado siimmer que no estea autorizado. Diese Informationen werden gespeichert los que Dies wird übermittelt deben ayudar activamente a que esto se cumpla, cifrundo extremo bis extremo si das Netzwerk no es conzuverlässig (Internet).

    Metriken: Activos cifrados / Activos totales.
  3. Control de acceso con mecanismo AAA
    • Autenticación: todos los Mitarbeiteros y usuarios del sistema tendrán credenciales de acceso (usuario y conpassword, biometricos) que garanticen que die Personona es die Person, für die er/sie sich ausgibt. Para aumentar Sicherheiturität y Schwierigkeitultar suPlantage de identität, en todos aquellos activos en los que pued zur Implementierungo it usara die doble Tatsacheor con Anwendung en das Mobiltelefon.
    • Autorización: Für Vermögenswerte jeglicher Art muss vor der Gewährung des Zugriffs eine Nutzungsgenehmigung eingeholt werden, unabhängig davon, ob sich die Person erfolgreich authentifiziert hat.
    • ounting: todo acceso y modificación de cualquier activo quedará convenientemente registrado.
  4. Plan de continuidad

    Vorbereitung un desaster en die menor Zeito posible.

    Metriken: der propio Plan · Bericht orme de simulacro de desastre · progreso de los proyectos.
  5. Formación y concienciación

    Informar, formar y concienciar a todos los Beschäftigungos en sind von Bedeutung de Sicherheiturität de Informationen, esBesonderheitenente en sus funciones, obligaciones y responMöglichkeit para, diese einzuhalten.

    Metriken: resultado de hacking ético interno.
  6. Registro y gestión de incidentes de seguridad

    Para ello ist usará die SOC (Centro de Operaciones de Sicherheit) que funciona 24×7 todos los Tage del Jahro. Los incidentes werden registriertos ybeluetados como de „Sicherheit“ y, en funtion de su Auswirkungeno, se les asignará un nivel de Kritikalität, wie y como está esgegründeto en die Gestion de Incidentes.

    Metriken: progreso en Zeito del Zahleno de Inzidenzenencias de Sicherheiturität · Zeitos de resolution.
  7. Auditoría

    Basado en dashboard de Sicherheiturität y en siSysteme de Überwachung en Echtzeito wird überprüftarán constantemente los eventos Beziehungonados con Sicherheiturität (z.B.or exemplo, intentos de accesos denegados), metrics de incidentes y die Rezensionsion de die Listen de autorizaciones (Personen, dieue yan sido de niedrig haben, die ue yan geändert habeno de departamento usw.) para bietetnir actuaciones no desed.

VoZurück zur Hauptseite