Protección de datos y seguridad de la información
Debido a la extrema importancia que tienen en un mundo cada vez más digitalizado, hemos hecho de la protección de datos y la seguridad de la información una gran prioridad para nosotros estableciendo estructuras individuales para gestionar estos temas.
Protección de datos
En SARIA, tratamos los datos de nuestros socios comerciales y otros grupos de interés con el máximo cuidado y sensibilidad, independientemente del lugar en el que desarrollemos nuestras actividades. Dado que los requisitos legales específicos pueden variar de un país a otro, hemos implementado un enfoque descentralizado según el cual cada una de las unidades organizativas internacionales de SARIA garantiza la integridad legal de sus datos de forma independiente.
Con el fin de establecer una estructura de grupo coherente, hemos creado una organización de protección de datos comparable con nuestra estructura de cumplimiento corporativo. Como órgano de deliberación internacional, hemos creado un Comité Internacional de Protección de Datos, compuesto por los responsables locales de protección de datos. Convocado inicialmente en otoño de 2022, el comité evalúa los problemas comunes del grupo en materia de protección de datos, desarrolla recomendaciones y directrices y sigue un exhaustivo procedimiento de información.
La piedra angular de nuestra gestión de la protección de datos de aplicación internacional es nuestra Política de Protección de Datos y Privacidad del Grupo, que entró en vigor el 1 de enero de 2023. Basada en la intención de crear un enfoque conciso y uniforme sobre la protección de datos a escala internacional, la política establece obligaciones vinculantes en relación con la gestión de los datos personales, así como numerosos controles y valoraciones, incluyendo la puesta en marcha de procedimientos de información y auditoría.
Jornadas Data Protection Power Days 2022 (Poder de la Protección de Datos)
en Alemania
Organización Internacional de Protección de Datos
Siguiendo el enfoque descentralizado que hemos mencionado anteriormente para garantizar el cumplimiento de la legislación nacional en materia de privacidad de datos dentro de cada unidad nacional, nos centraremos a continuación en los avances logrados dentro de la unidad organizativa de Alemania.
En cumplimiento de la obligación legal de documentar las actividades de procesamiento de las cámaras de vídeo que utilizamos para vigilar la seguridad de nuestros empleados, en 2022 llevamos a cabo una auditoría exhaustiva de la vigilancia por videocámara. Como resultado de la auditoría, cada actividad de procesamiento en relación con la vigilancia por videocámara se ha admitido como corresponde en nuestro registro central dentro del sistema digital de gestión de la protección de datos.
Además, se ha aprobado un nuevo e importante marco jurídico que permite el intercambio de datos entre las respectivas entidades jurídicas de SARIA dentro de Alemania. En virtud de este acuerdo, a partir de ahora podremos reducir al mínimo la dependencia de los acuerdos individuales de protección de datos dentro del ámbito de datos de SARIA.
Con el fin de complementar la creación de estructuras y procedimientos de protección de datos corporativos significativos, nos hemos centrado en la formación de nuestros responsables en privacidad de datos. En nuestro afán por llegar a todo el personal de protección de datos en Alemania, decidimos organizar el programa de formación "Data Protection Power Days" en noviembre de 2022. Entendemos que es vital intercambiar puntos de vista desde diferentes ángulos operativos y proporcionar los conocimientos básicos apropiados con la presentación de algunos de los requisitos y avances más importantes del Reglamento alemán de protección de datos en el ámbito de la protección de datos de la UE.
En 2022, realizamos una amplia auditoría de la vigilancia por videocámara
La formación del personal es un elemento clave en nuestra gestión de la protección de datos
Tras la respuesta tan positiva de los participantes y el gran éxito educativo, hemos decidido repetir los "Power Days" cada año. Junto con nuestro departamento de informática, realizamos una campaña de concienciación sobre los ataques de phishing al Grupo. La campaña busca fomentar que nuestros empleados cumplan con los procedimientos corporativos pertinentes y utiliza ataques de phishing simulados, mediante correos electrónicos que intentan inducir a nuestros empleados a una falsa sensación de seguridad.
Para evaluar el rendimiento de nuestra protección de datos, utilizamos un sistema de medición que comprende ocho áreas de protección de datos derivadas del Reglamento General de Protección de Datos europeo. Nuestros avances se miden mediante un modelo de madurez, que refleja el progreso en cada una de las ocho áreas. Con respecto al año de referencia 2020, conseguimos mejorar consistentemente nuestros resultados. En cuanto a los logros de 2021, conseguimos mejorar un 6 %. En lo que respecta al 2022, conseguimos mejorar otro 4 %. De cara al futuro, en 2023 aspiramos a aumentar nuestra puntuación global de madurez en materia de protección de datos un 4 % adicional.
Seguridad de la información
Al igual que sucede en la gestión de la protección de datos, combinamos el enfoque descentralizado con el intercambio regular y la puesta en común de conocimientos a través de nuestra red de seguridad de la información.
En principio, cada unidad organizativa define áreas de atención individuales para garantizar la seguridad de la información, teniendo en cuenta la experiencia y la evaluación de riesgos del especialista informático responsable, los conocimientos de nuestra red de seguridad informática y los resultados de auditorías internas o externas, tales como la auditoría de seguridad externa realizada en Alemania en 2022. Además, es importante reaccionar rápida y oportunamente ante los incidentes y las influencias externas.
Pese a estas diferentes áreas de interés, nuestro enfoque general de la seguridad de la información se basa en tres pilares: medidas tecnológicas, medidas organizativas y acciones para concienciar.
"Es esencial proteger nuestros activos de información. Por ello, trabajamos para implantar una sólida gestión de la ciberseguridad que nos permita gestionar adecuadamente los riesgos y ser más resilientes. Como resultado, cada año llevamos a cabo una serie de iniciativas para mejorar el nivel de ciberseguridad en nuestra organización, con el fin de proteger adecuadamente la información de nuestros clientes, empleados y colaboradores, así como los sistemas de la cadena de suministro, de modo que podamos garantizar el cumplimiento de nuestros compromisos con clientes y terceros."
Red de Seguridad de la Información
Si bien es cierto que nuestro objetivo claro es una política cero, somos conscientes de que no existe una garantía del 100 % en el ámbito digital. Por ello, trabajamos sin descanso en la mejora de nuestros sistemas y en 2023 también seguiremos intensificando y mejorando nuestros esfuerzos.
Los siguientes ejemplos de la organización en Alemania ilustran la interacción sistemática de diversos instrumentos.
seguridad del correo electrónico
seguridad del correo electrónico
Para facilitar la gestión de la gran cantidad de contraseñas necesarias en el entorno de trabajo actual, contamos con una herramienta de gestión de contraseñas que permite gestionar cómodamente todas las contraseñas utilizadas.
Al mismo tiempo, intentamos facilitar las rutinas de trabajo y proteger nuestros sistemas implementando potentes herramientas para filtrar el spam y los virus que se envían a través del correo electrónico.
seguridad de la información
seguridad de la información
Con el fin de garantizar la concienciación de todos los empleados, es obligatorio que nuestro personal en Alemania realice un módulo de formación en línea sobre "Seguridad de la información". Desde 2022, todos los nuevos empleados están inscritos automáticamente.
autenticación multifactor
autenticación multifactor
Para proteger nuestro sistema de accesos no autorizados, utilizamos Azure Active Directory y Active Directory Security como sistemas centrales de autorización. Estos sistemas se someten periódicamente a auditorías externas y pruebas de penetración para validar su seguridad.
Asimismo, hemos introducido en nuestro grupo la autenticación multifactor (AMF) a prueba de phishing, que obliga a los empleados a realizar un paso de autorización adicional para poder acceder a un gran número de servicios.
Introduciremos políticas y procedimientos que proporcionen directrices claras sobre cómo establecer y utilizar las contraseñas, por qué y cuándo es necesario restablecerlas automáticamente, y qué hacer cuando haya indicios de que se han vulnerado nuestros sistemas.
Llamada tradicionalmente "protección antivirus", esta medida consiste en bloquear las amenazas en los dispositivos. Sin embargo, ahora la cuestión va mucho más allá de la mera detección de virus: los programas profundizan en los sistemas operativos y supervisan todas las acciones de los dispositivos para detectar y bloquear comportamientos inusuales e indeseables de los programas. Para ello, XDR relaciona los datos de los dispositivos típicos de trabajo, como portátiles y ordenadores con los datos de la red y la nube.
En respuesta a la creciente importancia de este tema, hemos creado una función dedicada a la seguridad informática dentro de nuestra organización informática y estamos reforzando sistemáticamente la cooperación y el intercambio dentro de SARIA y en todo el Grupo RETHMANN.
Un equipo externo de especialistas ̶ el llamado Centro de Operaciones de Seguridad (SOC) ̶ nos asistirá en el funcionamiento de los componentes de seguridad informática con recursos y conocimientos adicionales. Entre otras cosas, el SOC utiliza un sistema de gestión de eventos e información de seguridad (SIEM) que examina los datos de diversas fuentes en busca de patrones y actividades inusuales con el fin de informar de anomalías en una fase temprana y analizar o evitar amenazas.
Antes era habitual tener distintos dispositivos, como servidores, ordenadores y teléfonos, conectados entre sí en una misma red. Esto permitía a los intrusos moverse fácilmente entre los respectivos sistemas y hacer más daño. Para protegernos de este tipo de infracciones, introduciremos redes segmentadas, en las que todos los dispositivos se agrupan según su importancia o función en redes IP diferentes. La comunicación entre ellos únicamente es posible a través de cortafuegos, que solo permiten la conexión entre los respectivos dispositivos.
Secure Web Access garantiza la seguridad en el acceso a internet. Por ejemplo, se puede bloquear el acceso a páginas con contenidos indeseables o no autorizados y, además, el sistema comprueba si hay virus y otras posibles amenazas.