DigitAll360 da prioridad a una sólida gestión de la seguridad de la información para proteger los datos, los activos internos y la valiosa propiedad intelectual de nuestros clientes. Aprovechamos marcos reconocidos en el sector para establecer, gestionar y mejorar continuamente nuestra postura de seguridad.

• ISO 27001: Implantamos un Sistema de Gestión de la Seguridad de la Información (SGSI) basado en los principios de la norma ISO 27001. Esto abarca:
• Evaluación y tratamiento sistemáticos de los riesgos
• Políticas y procedimientos de seguridad documentados
• Funciones y responsabilidades claramente definidas en materia de seguridad de la información
• Auditoría continua y mejora de los procesos
• SOC 2: Como parte de nuestro compromiso con la seguridad, disponibilidad, integridad del procesamiento, confidencialidad y/o privacidad, está previsto que obtengamos la certificación SOC 2 a principios de 2025. Esto proporcionará una verificación independiente de nuestros controles y procesos.

1. Contraseñas seguras y autenticación multifactor (MFA): Imponga contraseñas complejas y exija MFA para acceder a sistemas y cuentas críticas.
2. Software antivirus/antimalware: Solución reputada en todos los puntos finales (ordenadores, portátiles, servidores) para detectar y prevenir infecciones comunes de malware.
3. Actualizaciones de software: Revisamos periódicamente las actualizaciones disponibles Para cerrar vulnerabilidades y mantener los sistemas operativos, las aplicaciones y el firmware al día con los últimos parches de seguridad.
4. Cortafuegos: Hemos implementado los mejores cortafuegos del sector para controlar el tráfico de red y bloquear las conexiones entrantes y salientes sospechosas.

• Protección de datos

1. Cifrado: Cifrar los datos sensibles tanto cuando se almacenan (en reposo) como cuando se envían por Internet (en tránsito). Mediante cifrado AES-256 y TLS.
2. Copias de seguridad: Se realizan copias de seguridad de los datos críticos en una ubicación externa o en la nube cada 6 horas, y copias de seguridad completas a diario durante los periodos de uso lento. La capacidad de restaurar datos se comprueba semanalmente para garantizar la recuperabilidad.
3. Controles de acceso: Aplique el principio del mínimo privilegio: conceda a los empleados sólo el acceso necesario para realizar su trabajo. Revise periódicamente los permisos.

• Educación de los empleados

1. Formación sobre concienciación en materia de seguridad: Organice sesiones de formación periódicas para enseñar al personal a reconocer los ataques de phishing, las estafas de ingeniería social y el manejo de datos confidenciales.
2. Simulaciones de phishing: Ponemos a prueba la concienciación de nuestros empleados con simulaciones realistas de phishing trimestrales, que nos ayudan a identificar a aquellos que necesitan formación adicional.

• Planificación de la respuesta a incidentes

1. Plan de respuesta: Seguimos las directrices y recomendaciones de la norma ISO/IEC 27035-2:2016; el plazo de notificación es de 2 a 4 horas, dependiendo de la gravedad del suceso. Todas las notificaciones al cliente se realizan únicamente a través de Voltage SecureMail cifrado.
2. Planificar pruebas: Realización de ejercicios de simulación de diferentes situaciones de infracción, para garantizar que nuestro equipo comprende el proceso.

• Consideraciones especializadas

1. Seguridad en la nube: Utilizamos los servicios de seguridad y rendimiento de redes y aplicaciones de Cloudflare combinados con el servicio en la nube Google Data.

Reconocemos que la ciberseguridad es un esfuerzo continuo de colaboración. Trabajamos en estrecha colaboración con nuestros clientes, socios y expertos en seguridad para mantener una postura de seguridad sólida y adaptable a la evolución de las amenazas y los requisitos de los clientes.

Luis Vale
VP de Soluciones Digitales
Luis.Vale@DigitAll360.com
Tel: +43 12 264 462