Ponemos a tu disposición nuestra Política de seguridad de la información
Los procesos de negocio de Informa D&B S.A.U. (S.M.E.) dependen en gran medida de los sistemas de información y de la información que almacenan. La misión de la Política de seguridad de la información es establecer las directrices generales de calidad y seguridad de la información para la empresa, además de proteger los activos de información.
Estas directrices incluyen la adopción de una serie de medidas de seguridad administrativas, técnicas, físicas, organizativas y normas. Estas medidas han sido razonablemente diseñadas con la finalidad de proteger y mejorar sus sistemas de información y la información de sus clientes ante amenazas, internas o externas, deliberadas o accidentales, y para garantizar la calidad, el cumplimiento de la confidencialidad, integridad, disponibilidad y legalidad de la información.
Informa D&B S.A.U. (S.M.E.) valora mucho la relación y la confianza de nuestros clientes. En el entorno tecnológico actual, entendemos que un programa de seguridad adaptable y ágil es vital para la integridad de nuestro negocio, y la privacidad y seguridad de los datos confidenciales es una de nuestras principales prioridades. Evaluamos y desarrollamos nuestras medidas de seguridad, para mantenernos al día con el panorama actual de amenazas. Informa D&B S.A.U. (S.M.E.) puede actualizar estas medidas de seguridad periódicamente para reflejar los cambios, siempre que estos, no disminuyan materialmente el nivel de seguridad, sino, para la mejora o eficacia de medidas específicas de mitigación de riesgos.
La Política de Seguridad de Informa D&B S.A.U. (S.M.E.) se basa tanto en las recomendaciones de buenas prácticas que garantizan la Seguridad en la gestión de sistemas de la información, como en la legislación aplicable vigente, certificándose anualmente bajo el estándar ISO/IEC 27001:2013 de Sistemas de Gestión de Seguridad de la Información (SGSI) para nuestras ubicaciones en Madrid.
La Política de Seguridad de Informa D&B S.A.U. (S.M.E.) refleja el compromiso general, la concienciación y las acciones, comenzando por la Dirección de la compañía, hasta los empleados. En Informa D&B S.A.U. (S.M.E.) , entendemos que la seguridad es responsabilidad de todos.
Desde el primer día, nuestros empleados son recibidos con una guía de seguridad en su bienvenida, se les muestra el Manual de Seguridad con los requisitos y condiciones, con las que todo el personal de Informa D&B S.A. (S.M.E.) está obligado a cumplir y firman el compromiso de conformidad. Mensualmente todos los empleados reciben información actualizada sobre consejos, noticias e información relevante en materia de Seguridad.
Informa D&B S.A.U. (S.M.E.) ha designado un CISO Global de Grupo que junto con la Dirección de Seguridad de la información supervisan nuestro Plan Director de Seguridad y todos los programas de seguridad de la información globalmente. El equipo de Seguridad trabaja con las líneas de negocio de toda la empresa, proporcionando una estrategia de seguridad de la información en toda la empresa para respaldar los objetivos comerciales, minimizar la probabilidad y el impacto de los ataques y los incidentes de seguridad en nuestros activos de información y los de nuestros clientes.
Las políticas, los procedimientos y las instrucciones son un componente crítico de la dirección de Informa D&B S.A.U. (S.M.E.) . Proporcionan la estructura y las reglas en torno a las cuales opera la organización. Las políticas se revisan desde la Dirección de Seguridad junto al resto de las direcciones para garantizar la alineación con los objetivos comerciales y su idoneidad, adecuación y eficacia continuas.
Este enfoque logra una mayor alineación con varias regulaciones y mejora nuestra capacidad para abordar las amenazas de seguridad a las que enfrentamos. El conjunto de políticas hace referencia a marcos externos para estándares de seguridad cibernética e incorpora elementos según corresponda, incluida la alineación con la Familia de Estándares de Tecnología de la Información 27000 de la Organización Internacional para la Estandarización y la Comisión Electrotécnica Internacional (ISO/IEC).
Las políticas de Informa D&B S.A.U. (S.M.E.) revisadas se publican en la intranet de la empresa tras su aprobación, de modo que los empleados puedan acceder fácilmente a las políticas desde sus equipos. Los cambios significativos en las políticas se comunican según sea necesario a través de reuniones, correos electrónicos, presentaciones, la Intranet de la empresa y/o comunicaciones de toda la empresa.
Como respuesta a un nuevo entorno tecnológico donde la informática y las comunicaciones convergen y facilitan un nuevo paradigma de productividad para las empresas, Informa D&B S.A.U. (S.M.E.) asume el firme compromiso de brindar un servicio competitivo, a través de sus servicios de información, así como de la creación de bases de datos de información económica, financiera y de marketing de empresas y empresarios en un entorno de calidad, donde la aplicación de buenas prácticas de seguridad es un pilar fundamental para lograr los objetivos de confidencialidad, integridad, disponibilidad y legalidad de toda la información gestionada.
En consecuencia, Informa D&B S.A.U. (S.M.E.) asume los siguientes compromisos como parte de la estructura de aplicación de su Sistema de Gestión de Seguridad de la Información (SGSI):
Por lo tanto,se establecen los siguientes objetivos de seguridad de la información:
Los miembros y actividades del equipo de Seguridad están estructurados bajo un marco que consta de las siguientes directrices:
Informa D&B S.A.U. (S.M.E.) realiza dos tipos de análisis de riesgos de seguridad para su evaluación y definición del nivel de riesgo, descubriendo las potenciales amenazas y vulnerabilidades a los que están expuestos. Estos son en base a los activos identificados y en base a los escenarios siguiendo la metodología COBIT y los principios generales de la ISO 31000.
Basándose en las recomendaciones de buenas prácticas que garantizan la Seguridad en la gestión de sistemas de la información (Normas internacionales ISO 27001)
Para el desarrollo de ambos análisis se realiza:
En función del umbral de cada riesgo, si este supera el nivel de riesgo aceptado, se establecerán medidas para contrarrestar dicho riesgo mediante un Plan de Tratamiento.
La Dirección de Informa D&B S.A.U. (S.M.E.) está comprometida en la definición, desarrollo, implantación y revisión del sistema de gestión, siendo parte activa en las tareas de revisión y seguimiento del sistema, entre los que cabe destacar:
Desde la Dirección de Recursos Humanos están completamente comprometidos con la Seguridad, garantizando que los empleados, contratistas y terceros:
Informa D&B S.A.U. (S.M.E.) periódicamente, lleva a cabo un inventario de activos, los riesgos asociados a los mismos y define las responsabilidades de protección adecuadas. En este sentido, se incluye el asegurar que la información reciba un nivel adecuado de protección de acuerdo con su importancia y evitar la revelación, modificación, eliminación o destrucción no autorizadas de la información almacenada en soportes.
Desde la Dirección de Seguridad se homologa el software de terceros antes de ser instalado en los equipos de usuario para comprobar que se cumple con las mejores prácticas en materia de seguridad.
En Informa D&B S.A.U. (S.M.E.) se inventarían los activos entregados a los trabajadores donde se actualizan los activos entregados a los trabajadores y la devolución de los mismos, ya sea por cambio o por fin de servicios.
Dentro de este apartado se incluye la Política de Mesas limpias, uso de fotocopiadoras e impresoras y la manipulación de soportes de almacenamiento.
La información confidencial no se transmite a través de Internet u otras comunicaciones públicas a menos que esté encriptada en tránsito. Los archivos de datos secifran mediante el cifrado de seguridad de la capa de transporte (TLS) para las sesiones de comunicación web.
Siempre que sea aplicable, toda la información distribuida sigue el protocolo Traffic Light Protocol (TLP) para garantizar la correcta distribución de nuestra información ante terceros.
Generalmente Informa D&B S.A.U. (S.M.E.) . utiliza para la transmisión de datos canales SFTP propios, pudiendo adaptarse a las necesidades de un tercero, siempre y cuando, sus características no sean de menos seguridad a las ofrecidas por nosotros.
Cuando lo requiera la ley aplicable y de acuerdo con nuestros estándares de clasificación de datos, se utiliza el cifrado en reposo. Este cifrado también puede aplicarse a petición de un tercero de acuerdo con la clasificación de información con las herramientas disponibles.
Este apartado abarca toda información que Informa D&B S.A.U. (S.M.E.) adquiere, procesa, analiza y ofrece en productos para que los clientes los utilicen como una solución a sus necesidades comerciales.
La información es un activo importante de Informa D&B S.A.U. (S.M.E.) y, como tal, debe ser protegida adecuadamente durante todo su ciclo de vida, desde su creación hasta su destrucción.
Con el fin de implantar un nivel de seguridad adecuado para el tratamiento y uso de la información en Informa D&B S.A.U. (S.M.E.), se ha establecido un sistema de clasificación de la información que permita categorizar la información según su grado de confidencialidad, integridad y disponibilidad de forma rápida y sencilla, y establecer un factor de agilidad en la toma de decisiones relacionadas con su seguridad. En este sentido, ha sido necesario poner en práctica un sistema de clasificación de la información que refleje adecuadamente su grado de criticidad, de acuerdo con los siguientes niveles:
Reglas generales de tratamiento y etiquetado de la información según su clasificación:
Para su correcta clasificación y uso, cada nivel de clasificación comprende los siguientes atributos:
El acceso a estos datos está restringido al personal autorizado mediante controles de acceso físicos y lógicos.
Informa D&B S.A.U. (S.M.E.) define los diferentes accesos siguiendo siempre los siguientes principios:
Los usuarios autorizados deben identificarse y autenticarse en la red, las aplicaciones y las plataformas utilizando su ID de usuario y contraseña. La autenticación de usuarios y dispositivos en los sistemas de información está protegida por contraseñas que cumplen con los requisitos de complejidad de contraseñas de Informa D&B S.A.U. (S.M.E.) :
Los permisos se basan siempre en accesos por perfiles o roles tras realizar el análisis, estudio y diseño en los diferentes sistemas de manera que desde el inicio y por defecto queden definidos los derechos de acceso de los usuarios y la protección legal o normativa necesaria de la información.
Tras la terminación del empleado, se revoca el acceso a los productos y sistemas.
Se requiere autenticación multifactor para sesiones remotas y ciertos entornos que alojan sistemas de producción. Además, los niveles más altos de acceso privilegiado a los sistemas, como los controladores de dominio de Informa D&B S.A.U. (S.M.E.) , están controlados por nuestro sistema de gestión de acceso privilegiado.
Informa D&B S.A.U. (S.M.E.) tiene establecidos los controles necesarios para que la realización de las actividades cotidianas de la organización garantice el cumplimiento de los objetivos de seguridad física y ambiental en sus instalaciones.
Con nuestro proveedor de centros de datos, la identificación, detección y protección de amenazas físicas y ambientales (infraestructura, datos y software) se gestionan a través de requisitos de cumplimiento de terceros y acuerdos de nivel de servicio. Además cuenta con certificación en materia de seguridad de las más exigentes para el sector.
Dentro de todos estos controles físicos se encuentra las características de equipos desatendidos que define que:
Las conexiones de red están protegidas mediante una combinación de controles de seguridad para la protección de datos y sistemas. Estos se basan en el tipo y el propósito de la conexión e incluyen, entre otros, la segmentación de la red, la implementación de firewalls, sistema IPS, antivirus en equipos y servidores y otros dispositivos de seguridad, y los mecanismos de autenticación apropiados.
El acceso a la información disponible a través de la red se controla para prevenir y detectar el acceso no autorizado mientras se proporciona un acceso seguro a los usuarios y sistemas autorizados. Las actividades y el tráfico de red se registran y almacenan de forma centralizada utilizando mecanismos de recopilación estándar de la industria o específicos del proveedor.
La implementación de nuevos dispositivos de red (es decir, enrutadores, conmutadores, cortafuegos) o componentes de sistemas de red sigue un proceso formal de gestión de cambios y es aprobado por los equipos de Operaciones tecnológicas y Seguridad. Los dispositivos desplegados en la red Informa D&B S.A.U. (S.M.E.) están configurados para cumplir con los requisitos de seguridad para sus propósitos individuales (interno, público, desmilitarizado).
El acceso público directo entre redes públicas (por ejemplo, Internet) y cualquier red interna de Informa D&B S.A.U. (S.M.E.) está restringido. El tráfico, entrante y saliente, de redes no confiables (incluidas conexiones inalámbricas externas y de invitados) y hosts está restringido.
El equipo de seguridad aprueba la conexión de una nueva red a redes corporativas o de sistemas comerciales existentes en cualquier ubicación de la empresa o centro de datos o sigue el estándar para conexiones de túnel VPN. Se accede a las conexiones remotas a la red corporativa a través de conexiones VPN a través de puertas de enlace administradas.
El acceso inalámbrico y remoto a personas externas se identifica, inventaría y gestiona.
En este apartado Informa D&B S.A.U. (S.M.E.) recoge todas actividades en relación con los medios de procesamiento y comunicación a seguir, la forma de realizar cualquier operación de mantenimiento en los sistemas, detallando aspectos como la gestión de cambios y gestión de la capacidad.
Se marcan las pautas a seguir en los diferentes entornos, aislando los datos de pruebas con los de producción.
Informa D&B S.A.U. (S.M.E.) dispone de un Plan de Continuidad de Negocio en el que se define la organización y las responsabilidades del Plan y se tienen en cuenta los diferentes riesgos y escenarios.
Este plan incluye las copias de seguridad, que en Informa D&B S.A.U. (S.M.E.) se realizan diariamente de toda la información almacenada en los recursos corporativos y se revisa que se haya realizado correctamente.
Se realizan pruebas periódicas anuales sobre el mismo para comprobar su viabilidad, obteniendo un resultando satisfactorio en las últimas pruebas realizadas.
El proceso de Cumplimiento de terceros de Informa D&B S.A.U. (S.M.E.) sigue un marco de ciclo de vida de gestión de riesgos y adquisición global definido a lo largo de la selección, incorporación, supervisión y terminación de la relación. Las reglas se establecen para regir los requisitos de seguridad y diligencia debida (que incluyen cumplimiento, privacidad y tecnología) para terceros (incluidos nuestros proveedores y socios comerciales de la red mundial) que hacen negocios con Informa D&B S.A.U. (S.M.E.) . Los terceros deben cumplir con nuestras políticas, estándares y procedimientos de Seguridad de la Información aplicables al servicio que se brinda.
Informa D&B S.A.U. (S.M.E.) investiga los incidentes relacionados con la seguridad, la disponibilidad, la confidencialidad y la privacidad y responde a cualquier violación real o sospechada de la seguridad de los sistemas de información de Informa D&B S.A.U. (S.M.E.) de manera oportuna y coordinada mientras cumple con las leyes y reglamentaciones aplicables. Informa D&B S.A.U. (S.M.E.) realiza ejercicios de simulación de seguridad al menos una vez al año.
Informa D&B S.A.U. (S.M.E.) ha desarrollado y mantiene prácticas que establecen la clasificación y priorización de incidentes de seguridad de la información en función de la gravedad del incidente y la sensibilidad de los sistemas y datos afectados. Para respaldar estos esfuerzos, Informa D&B S.A.U. (S.M.E.) ha implementado y supervisa alertas para proporcionar una capacidad de detección eficaz.
Los registros de auditoría están configurados para registrar actividades y eventos importantes relacionados con la seguridad de la información en los sistemas de Informa D&B S.A.U. (S.M.E.) .
Los cambios en los activos y sistemas de información se someten a nuestro proceso formal de revisión y aprobación de gestión de cambios antes de cualquier implementación dentro del entorno de producción.
Informa D&B S.A.U. (S.M.E.) tiene un programa de gestión de vulnerabilidades * para monitorear continuamente las vulnerabilidades reconocidas por los proveedores, informadas por los investigadores o descubiertas internamente a través de los diferentes escaneos de vulnerabilidades. Estas son gestionadas en función del riesgo.
Las vulnerabilidades se documentan y clasifican en función de los niveles de gravedad determinados por las clasificaciones de probabilidad e impacto. Informa D&B S.A.U. (S.M.E.) asigna los equipos apropiados para realizar la remediación y realizar un seguimiento del progreso hasta la resolución, según sea necesario. Las vulnerabilidades críticas se apuntan para remediación dentro de los 7 días; Vulnerabilidades de alta gravedad dentro de los 30 días; Vulnerabilidades de gravedad media en 120 días *.
Informa D&B S.A.U. (S.M.E.) dispone del Manual de Seguridad del Usuario accesible desde la intranet, que todo empleado de la compañía o personal con acceso a sus sistemas se compromete a su cumplimiento, en el que se definen las diferentes Políticas de uso responsable de los activos de información, equipos facilitados por la compañía, equipos externos y almacenamiento de la información.
En este Manual se recogen también las cláusulas de Protección de Datos de Carácter Personal , propiedad intelectual y las cláusulas de confidencialidad.
Todos los empleados de Informa D&B S.A.U. (S.M.E.) ; reciben a lo largo del año capacitación y formación (según sea necesario y apropiado para su función) en materias de ciberseguridad, así como de nuestras políticas y procedimientos de privacidad. Informa D&B S.A.U. (S.M.E.) lleva a cabo campañas periódicas de concientización sobre seguridad de los diferentes escenarios del panorama actual de Ciberseguridad para educar, concienciar y fortalecer al personal sobre sus responsabilidades y brindar orientación para crear y mantener un lugar de trabajo seguro. Esta concienciación se evalúa anualmente para ver el grado de concienciación y conocimientos adquiridos.
Además en la intranet tienen a su disposición un Tablón de noticias sobre diferentes campañas tanto a título profesional como personal, para evitar ser víctima de las actuales amenazas existentes.
