Política de seguridad

Bizneo depende de los sistemas de información. Estos sistemas son administrados con diligencia, tomando las medidas adecuadas para protegerlos frente a daños accidentales o deliberados que puedan afectar a la disponibilidad, integridad, confidencialidad, autenticidad o trazabilidad de la información tratada y de los servicios prestados.

Conscientes de la trascendencia de la seguridad de la información, y en consonancia con el camino que marca nuestra propia identidad, desde Bizneo se ha impulsado el establecimiento de un sistema de gestión de seguridad de la información (en adelante, SGSI) bajo el referencial ISO 27001 y de acuerdo a los requisitos del Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica (en adelante, ENS) con el fin de identificar, evaluar y minimizar los riesgos a los que se expone su información y la de sus clientes, así como garantizar el cumplimiento de los objetivos establecidos.

El objetivo de la presente Política de Seguridad es garantizar la calidad de la información y la prestación continuada de los servicios, actuando preventivamente y supervisando la actividad diaria, así como proporcionar un marco de referencia para el establecimiento de los objetivos de seguridad que permitan a Bizneo desarrollar una cultura de empresa, una forma de trabajar y de tomar decisiones, alineada con la seguridad de la información y que el respeto a los datos personales sean una constante.

Los sistemas de información están protegidos contra amenazas de rápida evolución, cuyo daño potencial incide en la confidencialidad, integridad, disponibilidad, uso previsto (trazabilidad) y valor de la información (autenticidad) de los servicios. Para defenderse de estas amenazas, se ha definido una estrategia que se adapta a los cambios en las condiciones del entorno para garantizar la prestación continua de nuestros servicios.

Desde los diferentes departamentos de Bizneo se asegura que la seguridad es una parte integral de cada etapa del ciclo de vida del sistema, desde su concepción hasta su retirada de servicio, pasando por las decisiones de desarrollo o adquisición y las actividades de explotación.

Bizneo está preparado para prevenir, detectar, reaccionar y recuperarse de incidentes, de acuerdo con el Artículo 12 del ENS, por ello se ha actuado en aras de potenciar distintos aspectos de la seguridad de información:

Marco Legal y Regulatorio

Bizneo llevará a cabo sus actividades de acuerdo con el marco legal y regulatorio vigente. Se compromete a cumplir con todas las leyes y regulaciones pertinentes relacionadas con la seguridad de la información, incluyendo, pero no limitándose a las indicadas en el documento “Legislación Aplicable SGSI”.

Bizneo integra el ENS y la ISO 27001 en la política de seguridad de la organización para brindar una estructura más completa y robusta para abordar los aspectos específicos de la seguridad de la información, tanto a nivel nacional como internacional. Además, la adopción de estos estándares mejora la credibilidad de la empresa, demostrando su compromiso con las mejores prácticas de seguridad.

Marco Organizativo de la Seguridad 

La presente política de seguridad ha establecido de acuerdo con los principios básicos señalados en el capítulo II del Real Decreto 311/2022 y se ha desarrollado aplicando los siguientes requisitos mínimos:

Organización en materia de seguridad 

En conformidad con el Esquema Nacional de Seguridad (ENS), nuestra organización adopta los siguientes principios básicos para garantizar la seguridad de la información:

  1. Seguridad Integral

  2. Gestión de Riesgos

  3. Prevención, Detección y Respuesta

  4. Líneas de Defensa

  5. Reevaluación Continua

  6. Roles y Responsabilidades

  7. Seguridad Proporcional

  8. Documentación y Registro

Bizneo ha identificado y definido los roles y funciones de seguridad necesarios para garantizar la protección de la información. Cada rol tiene responsabilidades claramente definidas (Responsabilidades Autoridad y Competencia ENS).

Bizneo ha nombrado un Comité de Seguridad que supervisará el seguimiento y cumplimiento del SGSI. El Comité de Seguridad está formado por cargos corporativos y de responsabilidad dentro de la organización La relación de los miembros constituyentes del Comité de Seguridad queda definido en el procedimiento creado al efecto (PS00 - Manual del SGSI). Dicho comité de Seguridad tendrá las siguientes funciones y responsabilidades:

  • Coordinar todas las actividades relacionadas con la seguridad de las TIC.

  • Es responsable de la redacción de la Política de Seguridad.

  • Es responsable de la creación y aprobación de las normas que enmarcan el uso de los servicios TIC.

  • Aprobará los procedimientos de actuación en lo relativo al uso de los servicios TIC.

  • Aprobará los requisitos de formación y calificación de administradores, operadores y usuarios desde el punto de vista de seguridad de las TIC.

Asimismo, se han definido las funciones y responsabilidades del responsable de Seguridad, del responsable de la Información y del responsable de los Servicios, así como la relación de éstos con el Comité de Seguridad.

Con el fin de describir el proceso y jerarquía para resolver conflictos de autoridad que pueda ocurrir durante la gestión del ENS entre los perfiles críticos con responsabilidades en materia de seguridad, en Bizneo se ha definido las funciones para la resolución de conflictos ante responsables y que aplica a todos los perfiles específicos de gestión del ENS (véase Responsabilidades Autoridad y Competencia ENS).

El responsable de Seguridad de la Información, el responsable del Servicio, así como el responsable de la información serán nombrado por la Dirección a propuesta del Comité de Seguridad. Dichos nombramientos se revisarán cada 2 años o cuando el puesto quede vacante.

En el siguiente organigrama se marcan los puestos con funciones o responsabilidades relacionadas con la seguridad de la información. La escalación en ausencia de alguno de estos responsables se realizará según las líneas jerárquicas marcadas en este diagrama.

Análisis y gestión de riesgos 

Todos los sistemas sujetos a esta Política han sido evaluados mediante un análisis de riesgos, evaluando las amenazas y los riesgos a los que están expuestos. Este análisis se repetirá:

  • regularmente, al menos una vez al año

  • cuando cambie la información manejada

  • cuando cambien los servicios prestados

  • cuando ocurra un incidente grave de seguridad

  • cuando se reporten vulnerabilidades graves

Categorización de los sistemas

Bizneo mediante la redacción del procedimiento correspondiente (PS00 - Manual del SGSI) ha definido los criterios para determinar el nivel de seguridad requerido en cada dimensión. Para ello se analizan los elementos esenciales, información y servicios, pivotando alrededor de ellos los criterios que el responsable de cada tipo de información y cada servicio podrá utilizar, considerando que la facultad de determinar la categoría del sistema corresponde al responsable de este.

El Esquema Nacional de Seguridad establece en su Anexo II medidas de seguridad condicionadas a la valoración del nivel de seguridad en cada dimensión y a la categoría de seguridad (artículo 40) del sistema de información respectivo. A su vez, la categoría de seguridad del sistema se calcula en función del nivel de seguridad más alto de las dimensiones valoradas.

Gestión del personal y profesionalidad

Todos los miembros de Bizneo tienen la obligación de conocer y cumplir esta Política de Seguridad de la Información y la Normativa de Seguridad, siendo responsabilidad del Comité de Seguridad aplicar las medidas necesarias para que la información llegue a los afectados.

Todos los empleados recibirán una sesión de concienciación en materia de seguridad al menos una vez al año. Asimismo, se establecerá un programa de concienciación continua para sensibilizar a todos los miembros de Bizneo, en particular a los de nueva incorporación, el cual se encuentra alineado con otros estándares implementados.

El personal que esté dedicado a las tareas de seguridad está cualificado de manera apropiada, dada la sensibilidad y complejidad de algunas de esas tareas. Esto es aplicable a todas las fases del ciclo de vida del proceso de seguridad (instalación, mantenimiento, gestión de incidencias y desmantelamiento). Para ello el personal recibe la formación específica necesaria para garantizar la seguridad de las tecnologías de la información aplicables a los sistemas y servicios sujetos al ENS.

Lógicamente, los mismos requisitos requeridos internamente deben exigirse a cualquier proveedor que preste servicios relacionados con seguridad. Para ello desde Bizneo se ha impulsado un procedimiento para la evaluación de los proveedores de forma que se asegure el nivel de seguridad similar al requerido por la entidad.

Autorización y control de los accesos

El primer paso para asegurar que la información y los sistemas están protegidos es limitar el acceso a los mismos. Por ello, se ha definido quienes, y en qué medida tendrán acceso a los recursos, de manera que cada uno tenga el acceso necesario para realizar sus tareas, pero no a equipos o datos que no deben estar a su alcance.

Asimismo, los sistemas de información de Bizneo cuentan con mecanismos de autorización para permitir el acceso y denegarlo y revocarlo cuando sea necesario.

Protección de las instalaciones

Las instalaciones se encuentran protegidas contra daños que puedan afectar a los sistemas que albergan y contra accesos de personas no autorizadas. El acceso a nuestras instalaciones está securizado y se encuentra regulado en el procedimiento habilitado a tal efecto.

Adquisición de productos de seguridad y contratación de servicios de seguridad.

Bizneo establece los requisitos del negocio y de seguridad de la información para sus sistemas de información, ya sean nuevos o bien existentes y que se amplíen o mejoren.

Así, toda nueva adquisición de producto y servicios de seguridad que pueda afectar al SGSI deberá evaluarse previamente, desde el punto de vista funcional y de requisitos de seguridad necesarios. Tras la validación, se procederá con la prueba formal del producto indicando si cumple con los requisitos.

Todo servicio contratado deberá ser evaluado antes de su puesta en producción con el fin de asegurar que cumpla con los requisitos mínimos de seguridad definidos en la presente Política de Seguridad de la Información y la Normativa de Seguridad vigente.

Mínimo privilegio 

El Sistema de Seguridad de la Información implementado en Bizneo sigue el Principio del Mínimo Privilegio según el cual se otorga a los usuarios del sistema los niveles (o permisos) de acceso mínimos necesarios para desempeñar sus funciones, con el objetivo de restringir el acceso a la información y recursos únicamente a lo que es estrictamente necesario para cumplir con una tarea específica.

Este principio de mínimo privilegio garantiza que cada parte (ya sea un proceso, un usuario o un programa) solo pueda acceder a lo que es esencial para su propósito legítimo, no otorgando privilegios innecesarios. No obstante, este principio no se limita solo al acceso de los usuarios humanos también se aplica a aplicaciones, sistemas o dispositivos conectados que requieren privilegios para realizar tareas necesarias.

Al limitar los privilegios se reduce la exposición a ciberataques y se evita la “acumulación de privilegios”.

Integridad y actualización del sistema

Para garantizar la integridad de los sistemas de información siempre, cualquier cambio físico y lógico, se realiza solo tras su aprobación formal y mediante un procedimiento formal.

Para ello, se actualizan los sistemas de manera controlada y según el estado de seguridad requerido en cada momento. Los cambios en las especificaciones de los fabricantes, la aparición de nuevas vulnerabilidades, la emisión de actualizaciones y parches que afecten a los sistemas son analizados para tomar las medidas necesarias para que no se degraden los sistemas ni su nivel de seguridad, gestionando asimismo los riesgos que introducen los cambios que se realizarán.

Protección de la información almacenada y en tránsito

Una parte significativa del ciclo de vida de la información corresponde a su almacenamiento y a su transporte. La información debe estar protegida en todo momento. Para ello se han desarrollado procedimientos adecuados, que cubren tanto a la información en soporte electrónico como en papel, así como política para el manejo y el tratamiento de la información.

Prevención ante otros sistemas de información interconectados

La prevención ante otros sistemas de información interconectados es un aspecto crucial para Bizneo. Para ello se han establecido medidas para garantizar la seguridad cuando los sistemas de información se conectan entre sí, teniendo en cuenta, aspectos tales como la protección del perímetro, el control de accesos o el debido registro de actividad con el que poder detectar posibles anomalías o comportamientos inusuales en la interconexión.

Cualquier conexión hacía o desde servicio interconectados serán realizado siguiendo las directrices definidas en las guías CCN-STIC publicada al efecto.

Registro de la actividad y detección de código dañino.

La empresa realiza la supervisión de sus sistemas de información y procesamiento registrándolas como incidencias de seguridad, revisando el registro de operación y fallos de sus sistemas para identificar el problema. Así, las actividades de supervisión del uso de los sistemas de Bizneo respetan los requisitos legales de privacidad y se utilizan para verificar la efectividad de los controles de seguridad implantados y el cumplimiento de la política de control de accesos.

Asimismo los equipos corporativos, mediante el uso de antivirus de última generación con gestión centralidad, cuentan con herramientas para la protección, detección, recuperación y eliminación de código malicioso.

Incidentes de seguridad.

Desde la dirección de Bizneo se ha establecido un procedimiento de notificación formal por el cual todo el personal debe notificar incidencias relacionadas con la seguridad mediante el canal establecido de forma inmediata y sin demoras. Ello permite garantizar una respuesta rápida y efectiva ante incidencias y debilidades en la seguridad.

Continuidad de la actividad.

La empresa ha establecido un procedimiento para actuar contra interrupciones en la actividad empresarial y proteger los procesos críticos de los efectos de fallos importantes en los sistemas de información y asegurar su restablecimiento inmediato. Para ello, se ha implementado un plan de continuidad de negocio (ver PROSI-11 Plan de Continuidad de Negocio) para reducir el impacto sobre la infraestructura de Bizneo, y consecuentemente sobre la empresa, y la recuperación de activos de información (ya sea por accidentes, fallo en equipamiento, actos deliberados, etc.) de forma tal que los procesos del departamento alcancen un nivel aceptable de continuidad mediante medidas de recuperación correctivas y preventivas.

Mejora continua del proceso de seguridad 

La Dirección, por su parte, valora especialmente y establece como criterio principal para la estimación de sus riesgos, la valoración de la confidencialidad, integridad y disponibilidad de la información crítica de la empresa y de sus clientes así como asegurar la trazabilidad y autenticidad de estos.

Así, se compromete a desarrollar, implantar, mantener y mejorar continuamente la presente política de Seguridad y su Sistema de Gestión con el objetivo de la mejora continua en la forma en que prestan sus servicios y en que tratan la información.

Datos de carácter personal 

Bizneo trata datos de carácter personal. En este sentido, y en cumplimiento con la legislación vigente en materia de protección de datos, teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, Bizneo ha aplicado medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, que en su caso incluya, entre otros:

  • la seudonimización y el cifrado de datos personales;

  • la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento;

  • la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico;

  • un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.

Documentación y Comunicación 

Esta Política de seguridad de la Información estará disponible como información documentada y se comunicará dentro de la organización. Además, se compartirá con las partes interesadas relevantes, como autoridades, operadores y usuarios de transporte público, según sea apropiado.

Revisión y Actualización

Esta política será revisada anualmente o antes si hay cambios significativos en el entorno operativo o tecnológico de Bizneo. La alta dirección se compromete a mantener esta política alineada con los objetivos de la empresa y los requisitos de seguridad de la información aplicables.

La presente Política de Seguridad de la información se hallará siempre alineada con las políticas generales de la compañía y con las que sirvan de marco a otros sistemas de gestión interna, como son las políticas de calidad.

En Madrid, a 16 de Julio de 2024

Santiago Salas

CEO Bizneo

Bizneo HR Logo

Software de Recursos Humanos más recomendado

Nuestra web utiliza cookies

Aquí puedes configurar tus cookies

Estas cookies son necesarias para que el Sitio Web funcione y no se pueden desactivar en nuestros sistemas. Usualmente están configuradas para responder a acciones hechas por usted para recibir servicios, tales como ajustar sus preferencias de privacidad, iniciar sesión en el sitio, o rellenar formularios. Usted puede configurar su navegador para bloquear o alertar la presencia de estas cookies, pero algunas partes del sitio Web no funcionarán. Estas cookies no guardan ninguna información personal identificable.

Off
On

Estas cookies nos permiten contar las visitas y fuentes de circulación para poder medir y mejorar el desempeño de nuestro sitio. Nos ayudan a saber qué páginas son las más o menos populares, y ver cuántas personas visitan el sitio. Toda la información que recogen estas cookies es agregada y, por lo tanto, anónima. Si no permite estas cookies no sabremos cuándo visitó nuestro sitio, y por lo tanto no podremos saber cuándo lo visitó.

Off
On

Estas cookies pueden estar en todo el sitio Web, colocadas por nuestros socios publicitarios. Estos negocios pueden utilizarlas para crear un perfil de sus intereses y mostrarle anuncios relevantes en otros sitios. No almacenan información personal directamente, sino que se basan en la identificación única de su navegador y dispositivo de acceso al Internet. Si no permite estas cookies, tendrá menos publicidad dirigida.