Los sistemas y datos de ERBESSD INSTRUMENTS (EI) están protegidos por un programa integral de seguridad de la información detallado en el Documento de Seguridad de la Información de ERBESSD INSTRUMENTS. Sistema de Gestión de Seguridad (EISMS). Profesionales dedicados a la seguridad, privacidad, gobernanza de la información y el cumplimiento mantienen el programa, con supervisión proporcionada por la Junta Directiva en conjunto con el liderazgo directivo. ERBESSD INSTRUMENTS en conjunto con su equipo de seguridad, realiza evaluaciones de riesgos, lleva a cabo revisiones regulares de riesgos y realiza un seguimiento de los riesgos utilizando un proceso de registro de riesgos documentado.
El programa de seguridad de ERBESSD INSTRUMENTS respalda los siguientes marcos: el Marco de Ciberseguridad NIST, NIST SP 800-171 para la Protección de Información No Clasificada Controlada en Sistemas de Información y Organizaciones No Federales, el Reglamento General de Protección de Datos (GDPR) de la UE y la Ley de Privacidad del Consumidor de California (CCPA).
Exponentes han establecido políticas que cubren:
Políticas de Uso Aceptable
|
|
Políticas de Seguridad
|
|
Controles de Acceso
El acceso y las capacidades de procesamiento están limitados a usuarios autorizados y dispositivos autorizados. A los usuarios autorizados se les asigna un ID de usuario único con una contraseña compleja, la cual es requerida para iniciar sesión. Se requiere cambiar las contraseñas con frecuencia. Se requiere autenticación de dos factores para el acceso remoto y el acceso a los sistemas en la nube. Las funciones administrativas se realizan a través de cuentas privilegiadas separadas.
Arquitectura
EI sigue las mejores prácticas para la implementación y mantenimiento de sus sistemas y para los datos mantenidos dentro de los centros de datos de EI y los servicios en la nube. Los datos y sistemas críticos se replican y respaldan en centros de datos secundarios. Los sistemas están diseñados de manera segura y son revisados por el equipo de seguridad antes de ser puestos en producción.
Auditoría
El programa de Seguridad de la Información de EI se audita regularmente tanto interna como externamente anualmente. EI monitorea y audita su seguridad, privacidad y gobernanza de la información (personas, procesos y controles) para garantizar el cumplimiento de políticas y estándares de seguridad/privacidad aplicables. EI realiza una prueba de penetración externa independiente anualmente y escanea regularmente sus redes externas e internas en busca de vulnerabilidades.
Conciencia y Educación
Los empleados de EI, incluidos los contratistas con credenciales del sistema de EI, realizan regularmente la capacitación en concientización de seguridad asignada y reciben ejercicios de entrenamiento contra phishing. Boletines de seguridad y anuncios se comparten durante todo el año para brindar recordatorios de refuerzo oportunos para la concientización y educación.
Continuidad del Negocio y Recuperación ante Desastres
EI mantiene un plan de continuidad del negocio y recuperación ante desastres que se revisa y prueba regularmente. Las consideraciones de continuidad y recuperación de EI incluyen el uso de sistemas de alta disponibilidad, servicios de respaldo, replicación de datos y centros de datos redundantes.
Control de Datos
Los datos están encriptados en reposo y en tránsito, separados lógicamente, y el acceso se otorga únicamente a usuarios autorizados. Los sistemas de monitoreo de archivos registran y supervisan el acceso a los datos, mientras que los sistemas de prevención de pérdida de datos monitorean el movimiento de datos dentro y fuera de EI.
Privacidad de la Información
EI está comprometido con la protección y privacidad de los datos. La protección y gestión de los datos confiados a nosotros es una de nuestras principales prioridades. EI sigue un modelo de acceso de privilegio mínimo y audita regularmente el acceso de los individuos a los datos. EI respeta el derecho a la privacidad de las personas y trabajamos constantemente para cumplir con las regulaciones de privacidad. Nuestra Política de Privacidad se puede ver aquí.
Seguridad Endpoint
Las estaciones de trabajo y dispositivos móviles están cifrados con cifrado de disco completo y requieren contraseña, PIN o biometría para acceder. Los inventarios de estaciones de trabajo, implementación de software y políticas de seguridad están controlados a través de la gestión de configuración empresarial. Las estaciones de trabajo, dispositivos móviles y servidores requieren registro en el sistema de gestión de dispositivos de EI. Las estaciones de trabajo y servidores están protegidos con protección avanzada de punto final, que utiliza inteligencia artificial para ayudar en la lucha contra las amenazas. El equipo de IT en las oficinas de EI está físicamente asegurado.
Respuesta a Incidencias
El plan de respuesta a incidentes de seguridad de EI dicta que los eventos de seguridad sean evaluados y escalados cuando sea apropiado. Un sistema de gestión de información y eventos de seguridad (SIEM) mantiene y analiza registros de seguridad. Este sistema se encuentra monitoreado 24/7. Los registros se analizan regularmente en busca de actividad sospechosa y comportamiento inusual por parte de personal de seguridad dedicado. Se mantienen membresías con organizaciones legales, cibernéticas y de pares para facilitar el intercambio de inteligencia oportuna y actividades de respuesta. EI mantiene una estrecha relación de trabajo con sus proveedores, las fuerzas del cumplimiento de la ley y los proveedores de servicios de seguridad gestionados para obtener inteligencia adicional sobre amenazas, análisis y respuesta.
Seguridad del Perímetro
EI protege los datos, servidores y endpoints en redes públicas y de EI utilizando controles de seguridad de primer nivel. These controls include next generation firewalls, next generation anti-virus/anti-malware, web security, email security and intrusion detection systems. Esto permite a EI prevenir ataques de red maliciosos, el acceso a sitios sospechosos o maliciosos, prevenir correos electrónicos o adjuntos maliciosos y mitigar ataques de día cero.
Gestión de Proveedores
ERBESSD INSTRUMENTS evalúa posibles proveedores según una serie de criterios para garantizar estándares de seguridad apropiados antes de otorgar acceso al sistema de un proveedor o poner en funcionamiento sistemas. Los contratos y acuerdos de procesamiento de datos son revisados por los equipos de Seguridad de la Información, Privacidad y Legal antes de su firma. La postura de seguridad de los proveedores clave se revisa regularmente.