Juridique · Documento corporativo

Política de seguridad.

Dernière mise à jourumise à jour : 19 de mayo de 2023 · Esferize Communications, S.L.

Rouleau

Introducción

Como mostyory de entreprisesesas de hoy en jour, nuestro negocio está totalmente numériser les informations ; de le bases de datos, repositorios y sisystèmes donde esces informations sont stockéesena y gestiona ; de réseauxes de donnéesos que nos permisen acceder y diffuser lesdites informations ; y, par derniero, de los equipos y disponibleositivos qui se connectent aux escomme réseauxes y que nos permisen travaillerar con elle.

Cualquier incidente sobre cualquiera de estos activos (information, sisystèmes, applicationsones, réseaues y equipos) pondrá en dangero le continuity del negocio al paralizar la pratique totalité (en funtion del portée del incidente) de los procesos que nos permisen funcionar.

Ces incidents peuvent être de deux types : techniques (panne de matériel) ou sécuritaires (attaque préméditée). C’est de cette dernière que porte ce document.

Dans este documento les politiques seront expliquées, objetivos y procedimientos de sécuritéuridad para, en première instance, éviter l'incidenceentes de sécuritéurité ocurran y, en secunda instance, estar preparados si estos atteindre producirse.

Por derniero, pero quizás lo le plus importantortant parau négocio, es que siendo una empresa ICT, que adeplus ofrece un serviceo de cybersécuritéurity en su catálogo, reputation es una cuestion de estar en le marchéo, o être expulsado definitivamente de lui.

Objetivos de seguridad

Como empresa nos posemos los siguientes objetivos de sécuritéurity cuyo cumplimiento sera mesuréo con indiquéores que mostraremos en el cuadro de commandeo del Comité de Adresse y del Comité de Sécuritéurité :

  1. Proteger los activos de información

    Chaque actifo tendrá un propietario esétablio, donc como personnes, convenientemente que tienen acceso à este activero. Chaque actifo solo es accesible par su propietario. Si fuese necesario, l'acceso a oaprès personas, pero par defecto sera en modo lecteurura, sin ningun otro privilègeo. Solo en caso necesario y bajo autorisation del propietario, o de l'adresse (selon le conseilo 156 uso à la personneonautorisée.

    Métrique: Actifs protégés / Actifs totaux · Comptes d'utilisateurs actifs / Employés actifs · Actifs publics / Actifs privés.
  2. Intégrité de informations

    En todo momento, durante le operaciones qusi l'information est effectuée, son intégrité de est maintenue. La lecture sera empêchéeura, modification, encryptage y borrado sitoujours que no estea autorizado. Los sisystèmes donde esces informations sont stockéesena y los equipos y réseaues par los que ceci est transmis deben ayudar activamente a que esto se cumpla, cifreto extremo à extremo si le réseau no es confiable (Internet).

    Métrique: Activos cifrados / Activos totales.
  3. Control de acceso con mecanismo AAA
    • Autenticación: todos los employésos y usuarios del sistema tendrán credenciales de acceso (usuario y conmot de passe, biométriqueos) que garantiqueen que la personneona es celle qu'elle prétend être. Para aumentar sécuritéurité y difficultéultar suplantation de identité, en todos aquellos activos en los que pued à mettre en œuvreo it usara le doble faitor con application en le mobile.
    • Autorización: los actifos, be del tipo que be, deberan preguntar par l'autorisation de uso antes de permettre l'acceso, endependientemente de que haya autenticado con succèso.
    • Accounting : todo acceso y modificación de cualquier activo quedará convenientemente registrado.
  4. Plan de continuidad

    Préparation un desaster en le menor tempso posible.

    Métrique: le propio plan · rapport orme de simulacro de desastre · progreso de los proyectos.
  5. Formación y concienciación

    Informar, formar y concienciar a todos los emploios en matière de sécuritéurité de information, esspecialmente en sus funciones, obligaciones y respocapacité para de s'y conformer.

    Métrique: resultado de hacking ético stagiaireo.
  6. Registro y gestión de incidentes de seguridad

    Para ello est usará le SOC (Centro de Operaciones de Sécurité) que funciona 24×7 todos los jours del annéeo. Los incidentes sera enregistréos ybeluetados como de « sécurité » y, en funtion de su impacto, se les asignará un nivel de criticité, tel y como está esa établio en la Gestion de Incidentes.

    Métrique: progreso en tempso del numéroso de incidencesencias de sécuritéurité · tempsos de resolution.
  7. Auditoría

    Basado en dashboard de sécuritéurity y en sisystèmes de surveillance en temps réelo est réviséarán constantemente los eventos relationonados con sécuritéurité (par exempleor exemplo, intentos de accesos denegados), métriques de incidentes y revuesisur de les listes de autorizaciones (les personnes quiue ontyan sido de faible, quiue ontyan changéo de departamento, etc.) para prévoitnir acteuaciones no desed.

Voretour à la page principale