Política de Seguridad de la Información

Home Política de Seguridad de la Información

Objetivos

El presente documento tiene por objeto regular la utilización de los medios y recursos tecnológicos propiedad de Applied Viability, Consulting, Technology and Marketing, S.L. puestos a disposición de los trabajadores describiendo el uso aceptable de las infraestructuras, servicios y datos de la empresa, eliminando toda expectativa de privacidad de los usuarios sobre los mismos, con la intención de proteger a los empleados y a la empresa de acciones ilegales o perjudiciales de individuos, ya sea consciente o inconscientemente. El uso inapropiado expone a la empresa a riesgos, incluyendo los ataques de virus, el compromiso de los sistemas, datos y servicios de red, y las cuestiones legales.

Ambas partes son conscientes de la necesidad de utilización de las herramientas de las tecnologías de la información y las comunicaciones en el proceso laboral. Los usuarios de los recursos tecnológicos son responsables de no abusar en su utilización, de mantener el respeto a los derechos de los demás usuarios, por lo que manifiestan estar de acuerdo en el establecimiento de las normas que deben regir su utilización y someterse a su cumplimiento.

Esta política es aplicable a todos los empleados, consultores, eventuales y otros empleados de la empresa, incluyendo también a las empresas externas y todo su personal externo que cuenten con un equipo conectado a la Red. Esta política es aplicable también a todos los equipos y servicios propietarios que de alguna manera tengan que utilizar local o remotamente el uso de la Red o recursos tecnológicos de la empresa así como de los servicios e intercambio de archivos.

La seguridad efectiva es un trabajo en equipo con la participación y el apoyo de todos los empleados y personal que usan o gestionan los sistemas de información. Es la responsabilidad de cada usuario de estas infraestructuras tecnológicas conocer estas directrices, y llevar a cabo sus actividades en consecuencia.

Definición de activos

Sistema de comunicaciones

Abarcan sistemas de telefonía fija, móvil, telefonía IP, correo electrónico, sistemas de mensajería instantánea o cualquier otro medio electrónico que la empresa pone a disposición de su personal para comunicarse en el ámbito laboral.

Recursos tecnológicos

Elementos que integran las Tecnologías de la Información y la Comunicación, tales como dispositivos electrónicos, software, hardware, cableado, nodos y acceso a redes públicas o privadas, servidores y en general toda la infraestructura utilizada por los sistemas de comunicación.

Política de uso

Conjunto de disposiciones que regulan la utilización aceptable de los recursos tecnológicos destinados al cumplimiento de los objetivos de la empresa.

Usuario o empleado

Se refiere a todo el personal o recurso humano, tanto interno como externo, que utiliza dentro del ámbito laboral, los sistemas de comunicación y los recursos tecnológicos propiedad de la empresa.

Administrador de sistemas o departamento de sistemas

Responsable de la gestión y administración de los equipos informáticos, así como vigilar el estricto cumplimiento de la política de uso de medios tecnológicos.

Marco para la gestión de la seguridad

El marco para la gestión de la seguridad está definido en los siguientes documentos:

  • Política de Seguridad de la Información v3.0, presente documento general donde se define un conjunto de reglas para establecer el nivel de seguridad básico a seguir, junto con los siguientes documentos.
  • Programa continuo de concienciación, documento donde se define el método de capacitación de los empleados.
  • Continuidad, protección e integridad de datos, documento donde se define el plan de continuidad, plan de vulneración (junto al siguiente documento) y las medidas aplicadas en busca de proteger y mantener la integridad de los datos y sistemas.
  • Notificación de vulneración, documento donde se definen los puntos a desarrollar en caso de vulneración.
  • Emergency Fix, documento para registrar los cambios en producción no programados, a modo de auditoría.

Se puede encontrar toda la documentación en la carpeta Anexo1 “Política de Seguridad”

Utilización de los equipos informáticos

La empresa es quién pone a disposición de los usuarios los medios y equipos informáticos para el cumplimiento de sus obligaciones laborales. En consecuencia, dichos equipos informáticos NO están destinados al uso personal o extraprofesional de los usuarios, debiendo éstos conocer que NO gozan del uso privativo de los mismos.

Los usuarios deberán destinar los equipos informáticos de que sean proveídos, a usos compatibles con la finalidad de las funciones que tienen asignadas o que correspondan a su trabajo y se comprometen a respetar la integridad de los recursos y sistemas de información a los que tengan acceso, quedando estrictamente prohibido llevar a cabo o facilitar a cualquier tercero la comisión de cualquiera de los siguientes supuestos:

Los usuarios deberán destinar los equipos informáticos de que sean proveídos, a usos compatibles con la finalidad de las funciones que tienen asignadas o que correspondan a su trabajo y se comprometen a respetar la integridad de los recursos y sistemas de información a los que tengan acceso, quedando estrictamente prohibido llevar a cabo o facilitar a cualquier tercero la comisión de cualquiera de los siguientes supuestos:

  • ● Alterar de forma total o parcial los componentes hardware, software y las configuraciones de los sistemas operativos de los equipos informáticos asignados al mismo usuario o a otros usuarios, sin la debida autorización del Oficial de Seguridad de la Información y el Administrador de Sistemas.
  • ● Conectar a los equipos informáticos otros equipos distintos de los que tengan instalados.
  • ● Acceder físicamente al interior de los PC
  • ● Ocasionar daños físicos, por mal uso o negligencia de los equipos informáticos.
  • ● Conectar unidades de almacenamiento extraíbles, tales como USB, CD, DVD o tarjetas de memoria

En el caso de ordenadores portátiles, los usuarios además tendrán que tener especial cuidado con las redes a las que se conecte el equipo portátil. Las conexiones a redes públicas deben quedar reducidas a aquellas estrictamente necesarias para ejecutar las tareas del usuario, y siempre que sean reconocidas y privadas, bajo uso del VPN facilitado. La conexión a redes no confiables pone en peligro la seguridad del equipo y por extensión, la de toda la organización. Si se sospecha la infección por virus u otro software malicioso, se deberá notificar a la mayor brevedad posible al Administrador de Sistemas.

Toda información creada y/o almacenada en los equipos y sistemas informáticos de Applied Viability, Consulting, Technology and Marketing, S.L. son propiedad de la empresa.

Los empleados de Applied Viability, Consulting, Technology and Marketing, S.L. deben asegurarse de que los equipos no atendidos, sean protegidos adecuadamente, incluyendo, pero no limitándose a:

  • a. Mantener las puertas cerradas donde alberguen equipos tecnológicos.
  • b. Realizar el cierre de sesión (logoff) antes de dejar el equipo desatendido.
  • c. Bloquear la estación de trabajo, para prevenir accesos no autorizados.

Acceso a material clasificado: Toda persona que acceda a los recursos de información de Applied Viability, Consulting, Technology and Marketing, S.L., está limitada al uso de la información al cual ha sido autorizada. Será sancionada cualquier persona a la cual se le encuentre o se le demuestre que accedió, leyó ó modificó información a la cual no ha sido explícitamente autorizada. Toda información de carácter confidencial que sea transmitida fuera de la red interna de la empresa deberá ser debidamente protegida por los empleados que la manejen.

Todos los usuarios, internos o externos, con acceso a aplicaciones y activos, y que opten por hacer uso de los recursos tecnológicos de Applied Viability, Consulting, Technology and Marketing, S.L., deberán firmar el Acuerdo incluido en el presente documento, así como el contrato de confidencialidad según la normativa vigente.

Utilización de las aplicaciones informáticas

Los usuarios deben hacer uso exclusivamente de las aplicaciones informáticas o versiones de software instalados en sus equipos por el departamento de sistemas de la empresa. La utilización de las aplicaciones informáticas tiene una finalidad profesional, es decir, destinada a satisfacer las obligaciones laborales y con el propósito para el que fueron diseñadas e implantadas, por lo que no son idóneas para un uso personal o privado.

El Administrador de sistemas será el responsable de configurar el sistema operativo, definir las aplicaciones informáticas de uso estandarizado y proceder a su instalación o desinstalación. Los usuarios no podrán instalar y desinstalar ningún programa salvo la autorización expresa del Administrador de sistemas.

Las aplicaciones informáticas están protegidas por la propiedad intelectual, por lo tanto, queda terminantemente prohibido el uso, reproducción, modificación, transformación, cesión o comunicación sin la debida autorización, con finalidad ajena a la propia empresa.

Los usuarios están obligados a cumplir las medidas de seguridad diseñadas por la empresa, así como las prevenciones que al efecto se establezcan. Por tanto, no podrán desactivar los programas de seguridad tales como los antivirus ni sus actualizaciones, y tampoco podrán introducir voluntariamente programas, virus, macros o cualquier otro dispositivo lógico o secuencia de caracteres, que causen o sean susceptibles de causar alteración o daño en los recursos informáticos de la empresa o en los de terceros.

Los usuarios tienen restringido el acceso a las aplicaciones que permiten la generación y/o manipulación de los programas con código fuente, en caso de no estar trabajando en dicho proyecto.

Además, se realizan copias de seguridad periódicas de los programas fuente y de los datos de estas.

Utilización de la información incorporada a los sistemas

Los usuarios con acceso a información y datos deben usarlos únicamente para las operaciones para las que fueron generados e incorporados, sin destinarlos a otros fines o incurrir en actividades que puedan considerarse ilícitas o ilegales. Asimismo, sólo deben acceder a aquellos datos y recursos que precisen para el ejercicio de las funciones que les correspondan, y efectuar sólo los tratamientos que sean precisos para el cumplimiento de los fines de la empresa.

Los usuarios están obligados a proteger la información y los datos a los que tienen acceso. Esta protección debe prevenir el empleo de operaciones que puedan producir una alteración indebida, inutilización o destrucción, robo o uso no autorizado, en definitiva, cualquier forma que pueda dañar los datos, aplicaciones informáticas y documentos electrónicos propios de la empresa.

Cualquier fichero que se almacene en los servicios de G-Suite o en el puesto de trabajo del usuario a través de soportes automatizados, internet, correo electrónico o cualquier otro medio, deberá cumplir los requisitos establecidos en estas normas, en especial, las referidas a la propiedad intelectual, el control antivirus y la protección de datos de carácter personal.

Applied Viability, Consulting, Technology and Marketing, S.L. no tiene permitido el uso de soportes extraíbles como forma de trabajo habitual. Sólo aquellos usuarios que por sus funciones laborales lo requieran, tienen habilitado el uso de soportes extraíbles de forma controlada por el Administrador de Sistemas.

Los soportes que contengan información de la organización deben ser protegidos contra el mal uso o corrupción durante su transporte.

Si un usuario finaliza su relación con la empresa o se traslada de puesto de trabajo, deberá dejar sin perjudicar todas las aplicaciones informáticas, ficheros, información, datos y documentos electrónicos que haya utilizado en su actividad profesional.

Si un usuario finaliza su relación con la empresa o se traslada de puesto de trabajo, deberá dejar sin perjudicar todas las aplicaciones informáticas, ficheros, información, datos y documentos electrónicos que haya utilizado en su actividad profesional.

Finalizada la relación con la empresa, el usuario dejará de tener acceso a los equipos informáticos y a la información incorporada a los mismos, debiendo devolver aquellos que se encuentren en su posesión. Esta obligación aplica tanto al personal propio como a contratistas que dispongan de activos de la compañía.

Finalizada la relación con la empresa, el usuario dejará de tener acceso a los equipos informáticos y a la información incorporada a los mismos, debiendo devolver aquellos que se encuentren en su posesión. Esta obligación aplica tanto al personal propio como a contratistas que dispongan de activos de la compañía.

Acceso a internet

El acceso a internet por los usuarios se realizará únicamente empleando los medios y a través de la red establecida a estos efectos por la empresa. Las conexiones a internet que se produzcan a través de la red corporativa tendrán una finalidad profesional. En este sentido, cada usuario autorizado empleará estas conexiones exclusivamente para el ejercicio de las tareas y actividades que corresponden a las funciones de su puesto de trabajo, eliminando en cualquier caso toda expectativa de privacidad sobre su uso.

La navegación por internet podrá usar un software o hardware adecuado para filtrar los accesos a los sitios que a consideración de la empresa sean inapropiados para la empresa, o innecesarios para la actividad laboral. No deberá accederse en ningún caso a direcciones de internet que tengan un contenido ofensivo o atentatorio de la dignidad humana y que atente contra los principios morales.
A estos efectos, la empresa podrá restringir el acceso a determinados servidores de contenidos en internet.

Las autorizaciones de acceso a internet se concederán acordes con las funciones del puesto que desempeñe el usuario, produciéndose una segmentación de perfiles que habilite las conexiones.

La empresa podrá controlar los accesos a internet. En este sentido, se podrán monitorizar las direcciones de acceso y el tiempo de conexión de los usuarios a internet, así como la limitación de su uso en razón de las funciones que ejerza, por motivos de seguridad o rendimiento de la red.

La empresa podrá registrar todos los accesos a servidores de la red incluyendo al menos la información de: direcciones de páginas visitadas, fecha y hora, ficheros descargados, usuario y puesto desde el que se ha efectuado la conexión.

Queda terminantemente prohibida la instalación de sistemas proxy por los usuarios y el uso de cualquier medio que permita eludir los controles de acceso a internet.

La transferencia de datos desde o a internet se realizará exclusivamente cuando lo exija el ejercicio de las funciones del puesto de trabajo. En todo caso, los usuarios deberán tener en cuenta, antes de utilizar la información proveniente de la red, si dicho uso es conforme a las normas que protegen la propiedad intelectual e industrial y deberán usar la máxima cautela para evitar descargarse archivos potencialmente peligrosos o maliciosos.

La navegación por sitios web, el envío de mensajes, registros, altas, relleno de formularios y cualquier otra actividad realizada vía internet, serán completa responsabilidad del usuario emisor y en todo caso deberá asumir las consecuencias que emanen de su actuación.

Prohibición del uso de herramientas y redes P2P (Peer-to-peer)

Queda estrictamente prohibida la instalación o uso de cualquier tipo de programa o servicio P2P para el intercambio de archivos, salvo expresa autorización por parte del Administrador del sistema. (Peer-to-peer: red de ordenadores que se comportan como iguales entre sí que permiten el intercambio directo de información, en cualquier formato, entre los ordenadores interconectados)

Uso del correo electrónico

El uso por los usuarios del correo electrónico habilitado por la empresa es estrictamente profesional, es decir, para el ejercicio de las funciones que corresponde al puesto de trabajo que desempeñe, no pudiendo en consecuencia utilizarse para fines particulares, excepto casos puntuales justificados.

Respecto de cualquier uso particular que el trabajador realice del correo electrónico con carácter puntual y justificado de acuerdo con la normativa anterior, el trabajador deberá posteriormente proceder al borrado y destrucción de los mensajes que haya podido enviar y/o recibir sin almacenar copia ni temporal ni definitiva de los mismos.

El empleado realizará en todo caso un uso adecuado, racional y leal del correo electrónico, debiendo utilizarlo en la medida en que resulte necesario para cumplir con las obligaciones concretas de su puesto de trabajo, de conformidad con las reglas de la buena fe y diligencia, eliminando en cualquier caso toda expectativa de privacidad sobre su uso.

Los usuarios tienen prohibido expresamente el acceso a cuentas de correos que no le hayan sido asignadas. Para que un usuario distinto pueda acceder a una cuenta de correo será preciso que el responsable de su departamento lo autorice haciendo la petición al departamento de sistemas.

Queda prohibido el uso abusivo del correo electrónico, utilizando mensajes con contenidos ofensivos o que atenten a la dignidad humana. Asimismo, queda prohibido el envío deliberado de cualquier clase de programa o virus que puedan causar perjuicios en los sistemas de información de la empresa o a terceros.

Queda prohibido el uso de la dirección de correo electrónico para darse de alta a servicios que no tengan relación con la actividad laboral del usuario y en todo caso
se prohíbe utilizar la misma contraseña
usada en la cuenta del correo o en la cuenta del usuario del sistema.
Esta será cambiada de forma regular según la normativa de empresa

Queda prohibido el uso de sistemas de correo web en el puesto de trabajo excepto para uso profesional cuando se haya autorizado su uso.

Queda prohibido el redireccionamiento del correo habilitado por la empresa a otros ficheros, servidores o correos individuales o personales sin la previa revisión y autorización escrita del personal técnico de la empresa que garantice la protección de la información en dichos sistemas, y el cumplimiento de la normativa de protección de datos personales.

Con la finalización de la relación del usuario con la empresa se interrumpirá el acceso a la cuenta de correo del usuario.

Con la finalización de la relación del usuario con la empresa se interrumpirá el acceso a la cuenta de correo del usuario.

Restricciones y política de uso de software de mensajería instantánea

No se podrá instalar ni usar ningún software de servicio telemático o de mensajería instantánea a excepción del instalado por el departamento de sistemas.

Queda expresamente prohibido utilizar lenguaje obsceno, agresivo, ofensivo o discriminatorio en el envío de comunicaciones a través de servicios de mensajería instantánea entre compañeros y para con terceros ajenos a la empresa.

La utilización del servicio de mensajería instantánea será de uso exclusivo para el cumplimiento de las actividades relacionadas dentro del ámbito laboral, quedando prohibida la transferencia de ficheros, imágenes o cualquier comunicación no relacionada con la actividad laboral.

La cuenta de mensajería instantánea de los trabajadores de la empresa es un instrumento de trabajo y no un instrumento idóneo para las comunicaciones personales. No obstante, la empresa admite que el trabajador pueda hacer un uso racional de esta herramienta informática para fines particulares semejante a la utilización de otros medios más tradicionales como el teléfono, en virtud de su derecho a comunicarse libremente con los demás. Respecto de cualquier uso particular que el trabajador realice con carácter puntual deberá desactivar con anterioridad el archivado de la conversación, ya que en ningún caso podrá disponer de una expectativa de privacidad relativa al contenido de sus conversaciones.

Restricciones y política de uso de software de mensajería instantánea

No se podrá instalar ni usar ningún software de servicio telemático o de mensajería instantánea a excepción del instalado por el departamento de sistemas.

Queda expresamente prohibido utilizar lenguaje obsceno, agresivo, ofensivo o discriminatorio en el envío de comunicaciones a través de servicios de mensajería instantánea entre compañeros y para con terceros ajenos a la empresa.

La utilización del servicio de mensajería instantánea será de uso exclusivo para el cumplimiento de las actividades relacionadas dentro del ámbito laboral, quedando prohibida la transferencia de ficheros, imágenes o cualquier comunicación no relacionada con la actividad laboral.

La cuenta de mensajería instantánea de los trabajadores de la empresa es un instrumento de trabajo y no un instrumento idóneo para las comunicaciones personales. No obstante, la empresa admite que el trabajador pueda hacer un uso racional de esta herramienta informática para fines particulares semejante a la utilización de otros medios más tradicionales como el teléfono, en virtud de su derecho a comunicarse libremente con los demás. Respecto de cualquier uso particular que el trabajador realice con carácter puntual deberá desactivar con anterioridad el archivado de la conversación, ya que en ningún caso podrá disponer de una expectativa de privacidad relativa al contenido de sus conversaciones.

Por seguridad, no se deberán descargar por ningún motivo ficheros adjuntos provenientes de remitentes desconocidos.

Uso de dispositivos móviles

El uso de los dispositivos móviles propiedad de la empresa no otorga a sus usuarios el derecho a tener una expectativa de privacidad en todo momento, incluyendo el acceso a internet y el correo electrónico. En la medida en que los usuarios deseen mantener una absoluta privacidad, deberán evitar usar el dispositivo suministrado por la empresa más allá de un uso exclusivamente profesional.

Al aceptar el dispositivo proporcionado por la empresa, los usuarios prestan su consentimiento informado para que la empresa pueda monitorizar su uso, incluyendo el contenido de los archivos y la información almacenada, los mensajes recibidos o enviados o el historial de navegación.

Los usuarios además deberán tener especial cuidado con las redes a las que se conecte el dispositivo. Las conexiones a redes ajenas a las de la organización deben quedar reducidas a aquellas estrictamente necesarias para ejecutar las tareas del usuario, y siempre que sea reconocidas y privadas. En el caso de redes WIFI además tendrán que estar cifradas utilizando un protocolo WPA o WPA2. La conexión a redes no confiables pone en peligro la seguridad del equipo y por extensión, la de toda la organización. Si se sospecha la infección por virus u otro software malicioso, se deberá notificar a la mayor brevedad posible al departamento de sistemas.

Uso de las licencias de software

Todo software protegido por copyright no podrá ser copiado a ningún soporte no autorizado por la empresa, ni se podrá disponer de cualquier información protegida por los derechos de autor que esté en formato electrónico en el equipo de cualquiera de los usuarios.

Utilización de líneas telefónicas y medios de reprografía

El uso de las líneas telefónicas (fijas o móviles) de la empresa, así como los medios de reprografía, está limitado a tareas relacionadas con la actividad de la misma y el funcionamiento de ésta.

Ocasionalmente se podrá autorizar su uso privado:

  • Por lo que respecta a las llamadas de teléfono, tienen que ser razonables en duración y frecuencia. Todas las llamadas quedan recogidas con el número de origen, fecha, hora, número de destino y duración de las mismas, pudiendo estos datos ser utilizados cuando se detecte un uso abusivo o inadecuado de las líneas de teléfono. La empresa podrá emplear y analizar estos archivos sin previo aviso cuando sea necesario o aconsejable.
  • Por lo que se refiere a los medios de reprografía, dicho uso habrá de ser necesario y razonable, evitando incurrir en una utilización no justificada o abusiva de tales medios.

En ninguna circunstancia se permite a terceras personas el uso de las líneas telefónicas y medios de reprografía de la empresa sin autorización previa, abarcando dicha prohibición a cualquier personal ajeno a la empresa.

Por encima de todo, los usuarios de las líneas telefónicas y de los medios de reprografía son los responsables de utilizar estos sistemas de una manera adecuada, ética, legal y que no dañe a terceros.

Consecuencias derivadas del mal uso de los medios o recursos tecnológicos

Los usuarios se comprometen a colaborar con el administrador de sistemas para llevar a cabo toda la investigación que tenga por objeto encontrar las posibles causas derivadas del mal uso de los recursos tecnológicos.

Toda incidencia detectada en los equipos informáticos, así como en los sistemas de información, podrán derivar en la suspensión o restricción del acceso o uso de los servicios al usuario, así como la aplicación de las medidas que la dirección considere oportunas al incumplimiento de lo establecido en el presente documento.

Cifrado de datos

En cuanto al cifrado de datos, Applied Viability, Consulting, Technology and Marketing, S.L. cumple con lo establecido a nivel nacional en la Anexo2 Ley Orgánica de Protección de Datos (LOPD GDD) y cumple con lo establecido a nivel europeo por el Anexo3 Reglamento General de Protección de Datos (RGPD).

Applied Viability, Consulting, Technology and Marketing, S.L. utiliza un cifrado convencional para las claves de usuarios de los sistemas. El resto de la información, es decir, todo el tráfico de datos en el servidor de producción utiliza un cifrado basado en SSL/TLS mediante protocolo de comunicaciones HTTPS con el fin de crear un canal cifrado entre el cliente y el servidor y asegurar la integridad de los datos.

Cifrado de datos

En cuanto al cifrado de datos, Applied Viability, Consulting, Technology and Marketing, S.L. cumple con lo establecido a nivel nacional en la Anexo2 Ley Orgánica de Protección de Datos (LOPD GDD) y cumple con lo establecido a nivel europeo por el Anexo3 Reglamento General de Protección de Datos (RGPD).

Applied Viability, Consulting, Technology and Marketing, S.L. utiliza un cifrado convencional para las claves de usuarios de los sistemas. El resto de la información, es decir, todo el tráfico de datos en el servidor de producción utiliza un cifrado basado en SSL/TLS mediante protocolo de comunicaciones HTTPS con el fin de crear un canal cifrado entre el cliente y el servidor y asegurar la integridad de los datos.

Alertas de seguridad

El software que desarrolla Applied Viability, Consulting, Technology and Marketing, S.L. dispone de las siguientes alertas de seguridad:

  • Las aplicaciones tienen logs para detectar bugs y situaciones extrañas que puedan afectar a la seguridad o estabilidad de la aplicación o el propio sistema.
  • Para proteger las bases de datos se implementa un amplio sistema de validación de datos para maximizar la seguridad de los valores introducidos.
  • Usamos programas para alertar valores que no deberían de haberse introducido o sobre casos raros.
  • Para complementar la información obtenida de los programas anteriormente mencionados, usamos registros de transacciones para poder buscar modificaciones ajenas a lo previsto o lo que consideremos necesario sabiendo lo que ha pasado en todo momento en las bases de datos.

Creación, modificación y baja de usuarios

En cuanto a la creación, modificación y baja de los usuarios en los sistemas, entornos de trabajo y cuentas de mail de Applied Viability, Consulting, Technology and Marketing, S.L., estará gestionado por el administrador de sistemas.

A recalcar que cuando se realiza una baja por parte del personal de Applied Viability, los accesos a los que el susodicho dispusiera serán inhabilitados lo más rápido posible para evitar cualquier fuga de información o acceso indebido. Además, como medida de seguridad, se realiza una modificación de contraseña a todos los servidores y base de datos que el usuario podría llegar a tener acceso/conocimiento dependiendo el rol de este.

Control de auditorías

Para obtener la renovación de la certificación ISO 9001 satisfaciendo la auditoría de control Applied Viability, Consulting, Technology and Marketing, S.L. debe cumplir los principales requisitos:

  • Organización
  • Documentación
  • Recursos
  • Instalaciones
  • Producción / prestación servicios
  • Medición, análisis y mejora

Para garantizar la renovación de la certificación ISO 9001 Applied Viability,Consulting, Technology and Marketing, S.L. realiza un control de lo siguiente:

  • La alta dirección está definida en una estructura organizacional.
  • Se actualizan las políticas de seguridad, el registro de actividades de tratamiento, se implementan nuevos manuales para los empleados, etc
  • Se realiza inventario de equipos y periféricos asignados, se van actualizando poco a poco los equipos.
  • Se garantiza la seguridad de las instalaciones y de los recursos de mediante sistema de alarma, se garantiza el correcto estado de las instalaciones mediante la contratación de una empresa de limpieza.
  • Los proyectos siguen una metodología SCRUM y siempre manteniendo la satisfacción del cliente mediante la continua actualización del avance e implementación de sus sugerencias.
  • Mediante medir, analizar e inventariar Applied Viability,Consulting, Technology and Marketing, S.L. se consigue actualizar la documentación, mejorar las instalaciones y los sistemas de gestión y desarrollo.

Calendario y registro de las acciones planificadas

En Applied Viability, Consulting, Technology and Marketing, S.L. disponemos de un calendario para notificar al encargado de la seguridad de las acciones periódicas a realizar. En la siguiente imagen se pueden observar las ocho tareas:

  • Gestión de copias de seguridad (gris)
  • Ciclo de copias de seguridad (verde claro)
  • Pentesting (morado)
  • Gestión de parches (lavanda)
  • Actualizaciones de contraseñas (naranja)
  • Plan continuo de concienciación (amarillo)
  • Revisar los permisos de usuarios (flamenco)
  • Actualizar el Registro de Actividades de Tratamiento (azul oscuro)
Gestión de Parches Ejemplo
Además llevamos el registro en hojas de cálculo, a continuación, una captura ejemplo (censurada por motivos de seguridad) de uno de los registros, en este caso de la gestión de parches

Anexos

Anexo 1

La carpeta “Política de Seguridad” está disponible en el siguiente enlace: Política de Seguridad de la Información v3.0.docx

Anexo 2

Recomendamos leer el documento Ley Orgánica de Protección de Datos (LOPD GDD) aprobado por Cortes Generales de España: clic aquí

Anexo 3

Recomendamos leer el documento “Reglamento general de protección de datos” (RGPD) de la Unión Europea “

Política revisada por: Ariel Sánchez el 30 de Septiembre de 2024 y aprobada por Tony Barriendos.