En Informática Borsan S.L. nos hemos dotado de una Política de Seguridad, con el objetivo general de mantener un nivel de protección y seguridad adecuado en todas las direcciones.

Esta Política de Seguridad se entiende como el conjunto de medidas, prácticas y reglas que deben cumplir todas aquellas personas que acceden a activos de tecnología e información en nuestra organización.

Para ello hemos definido los límites que no se pueden pasar y una serie de acciones de obligado cumplimiento para garantizar la confidencialidad, integridad y disponibilidad de la información.

Entre los objetivos de seguridad que nos hemos marcado se encuentran los siguientes:

 

Ø   Reducir el número de incidencias de seguridad.

 

Ø   La mejora continua de accesos por VPN mediante el doble token de seguridad.

 

 

Objetivos para cumplir este año 2021

 

Ø    Segmentar las redes, para reducir los permisos de acceso a nuestra intranet por áreas de negocio y trabajo.

 

La planificación para la consecución de los objetivos de seguridad y su seguimiento, serán responsabilidad de la Oficina de Seguridad, que a su vez mantendrá informado al Comité de Seguridad.  

Además, estos objetivos de seguridad serán revisados anualmente por el Comité de Seguridad, mediante el análisis de las métricas proporcionadas por la Oficina de Seguridad y se actualizarán según sea conveniente.

Estos objetivos se medirán en todo lo posible siguiendo las métricas definidas.

 

Ø  Copias de Seguridad de Servidores

El objetivo y la métrica marcados para nuestro alcance son:

o   Toda la información se sincroniza cada 2 – 4 horas (dependiendo de la importancia del recurso compartido), con un cumplimiento del 95%.

 

o   Copias de Seguridad realizadas con éxito con un cumplimiento del 90%.

 

Ø  Sistema de conexiones VPN 

Se cuenta con el sistema de conexión Fortinet, que opera mediante un firewall físico instalado en nuestra red local. El objetivo y la métrica marcados para nuestro alcance son:

o   Accesos indebidos a nuestro sistema igual a 0.

 

o   Control de amenazas y vulnerabilidades detectadas en cada uno de los equipos que se conectan a la VPN superior al 95%.

 

Ø  Resolución de Incidencias Seguridad Internas

Los indicadores serán analizados desde el momento de la asignación al grupo SISTEMASTI. Las tipificaciones existentes para las prioridades asignadas a las incidencias de seguridad son:

o   Urgente:  Capacidad de afección sobre datos valiosos, en gran volumen y en poco tiempo, o cuando existe la capacidad de afectar a información valiosa en cantidad apreciable.

 

o   Alto: Cuando se dispone de capacidad para afectar a información valiosa.

 

o   Medio: Cuando dispone de capacidad para afectar a un volumen apreciable de información.

 

o   Bajo: Escasa o nula capacidad para afectar a un volumen apreciable de información.


Los indicadores son:

o   Urgente <= 4 h

 

o   Alto <= 8 h

 

o   Medio <= 24 h

 

o   Bajo <= 40 h

Estas horas se contabilizan dentro de la jornada laboral.

 

El objetivo y la métrica marcados para nuestro alcance son:

o   Tiempo de resolución de incidencias de seguridad Urgentes 90%

 

o   Tiempo de resolución de incidencias de seguridad Altas 85%

 

o   Tiempo de resolución de incidencias de seguridad Medias 80%

 

o   Tiempo de resolución de incidencias de seguridad Bajas 80%


Estas métricas se deben revisar anualmente por el Responsable de Sistemas o la persona que haya sido delegada para dicha función.

Los informes serán presentados al Comité de Seguridad cuándo sea necesario realizar el seguimiento, la evaluación y la medición de los resultados obtenidos por los análisis de las métricas.

Estos informes se conservarán siempre en SharePoint, como evidencia de los resultados. 

El análisis del Comité de Seguridad quedará reflejado en el acta y si procede, en un informe de seguimiento.

Estas políticas son aprobadas por la Dirección y el Delegado en el Comité de Seguridad. Así mismo, son reflejadas en su acta correspondiente y tienen una revisión anual (como mínimo), siempre y cuando haya un cambio significativo.  

Las políticas por sí solas no constituyen una garantía para la seguridad de la organización, deben responder a intereses y necesidades organizacionales basados en la visión de negocio. Conllevan un esfuerzo conjunto de sus actores por administrar sus recursos, además

de reconocer en los mecanismos de seguridad informática factores que facilitan la formalización y materialización de los compromisos adquiridos con la organización.

Con las políticas se cubren las gestiones internas de la empresa a nivel de seguridad, además de mitigar las vulnerabilidades de los aplicativos webs expuestos en la red y que emplean nuestros clientes.